1 systemsäkerhetsplan ledbat¤k/sspp_exempel-stor.pdf · mekbat 90. 122 123 124 . figur 2....
TRANSCRIPT
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 1 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Systemsäkerhetsplan LedBaT 1
2
3
4
Fastställd: LedBaT CCB no 5
Datum: 6
2008-XX XX7
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 2 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Revisionshistoria 8
Version Uppgjord
av
Beskrivning Datum
1.0 BEHJO Första fastställda utgåvan 2003-04-25
1.1A BEHJO Omarbetning 2004-01-15
1.1B BEHJO Omarbetning efter möte 2004-06-03, synpunkter från
HAKAR, kompletterat med ansvarsfördelning, dok nr,
ÄÄ034
2004-11-15
1.1C BEHJO Omarbetning enligt granskningsprotokoll nr LedBaT
008/04 samt synpunkter från ARAL.
2004-12-22
1.1D BEHJO Omarbetning enligt synpunkter från ARAL. 2005-01-20
1.1E BEHJO Omarbetning enligt synpunkter från VO Mark 2005-02-25
1.1F BEHJO Omarbetning enligt inkomna synpunkter, protokoll
070/05.
2005-03-15
1.1G BEHJO Omarbetning enligt kontraktuela förutsättningar. 2006-02-02
1.1H EHAH Omarbetning enligt aktuella förutsättningar. 2008-10-10
1.1I EHAH Omarbetning efter granskning av Adam Narel 2009-05-13
9
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 3 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Innehållsförteckning 10
0.1 Terminologi .......................................................................................................... 5 11
0.2 Förkortningar ....................................................................................................... 6 12
1. Referenser ........................................................................................................................................ 8 13
2. Syfte och omfattning........................................................................................................................ 9 14
3. Beskrivning av systemet ............................................................................................................... 11 15
3.1 Teknisk beskrivning ........................................................................................... 11 16
3.2 Operationsförhållanden...................................................................................... 12 17
4. Organisation, ansvar och befogenheter....................................................................................... 13 18
4.1 FMV:s systemsäkerhetsorganisation ................................................................. 13 19
4.1.1 Projektledare SLB ...................................................................................... 13 20
4.1.2 FMV SSWG ............................................................................................... 13 21
4.2 Leverantörens organisation ............................................................................... 13 22
4.3 Ansvarsfördelning .............................................................................................. 14 23
5. Av FMV tillhandahållen materiel ................................................................................................... 15 24
6. Systemsäkerhetsarbete hos FMV ................................................................................................. 16 25
6.1 Beskrivning av aktiviteter ................................................................................... 16 26
6.2 Hantering av risklista ......................................................................................... 18 27
6.3 FMV SSWG möten ............................................................................................ 20 28
6.4 Systemsäkerhetsgenomgångar SSPR ............................................................... 21 29
7. Systemsäkerhetsarbete hos leverantören ................................................................................... 22 30
7.1 Beskrivning av aktiviteter ................................................................................... 22 31
7.2 Beskrivning av dokumentation ........................................................................... 23 32
7.3 Hantering av risklista ......................................................................................... 23 33
7.4 Genomförande av säkerhetsgenomgångar ........................................................ 24 34
7.5 Handhavandebeskrivningar och manualer ......................................................... 24 35
8. Risker .............................................................................................................................................. 25 36
8.1 Beskrivning av risker .......................................................................................... 25 37
8.2 Uppskattning av risker ....................................................................................... 25 38
8.3 Tolerabla risknivåer ........................................................................................... 27 39
8.4 Värdering av risker i maskinvara ........................................................................ 29 40
8.5 Värdering av risker i programvara ...................................................................... 29 41
9. Åtgärdande av risker...................................................................................................................... 30 42
9.1 Principer för åtgärdande av risker ...................................................................... 30 43
9.2 Åtgärdande av risker i programvara ................................................................... 30 44
10. Verifiering ....................................................................................................................................... 32 45
10.1 Verifiering hos leverantören ............................................................................... 32 46
10.2 Verifiering hos FMV ........................................................................................... 32 47
11. Stängning av risker ........................................................................................................................ 33 48
11.1 Förutsättningar .................................................................................................. 33 49
11.2 Stängning av tolerabla risker ............................................................................. 33 50
11.3 Stängning av begränsad tolerabla risker ............................................................ 33 51
11.4 Stängning av ej tolerabla risker .......................................................................... 34 52
12. Avvecklingsbetingelser ................................................................................................................. 35 53
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 4 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
13. Säkerhetsutlåtande ........................................................................................................................ 36 54
14. Säkerhetsgodkännande ................................................................................................................. 37 55
56
57
58
59
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 5 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
0. Terminologi och förkortningar 60
Terminologi och förkortningar är hämtade från H SystSäk och H ProgSäk och redovisas 61
här för att underlätta läsningen. 62
0.1 Terminologi 63
Delsystem Ett fristående system konstruerat för att utföra en eller
flera specifika uppgifter, med möjligheten att integreras
med andra delsystem.
Enkelfel En felorsak, som ensam kan leda till felaktigt
systembeteende.
Komponent Minsta testbara enhet.
Separatkompilerbar programkod
Kritikalitet Diskret mått på hur stor effekt en del av systemet eller ett
fel i systemet och avsedd omgivning kan ha på
systemsäkerheten.
Kvarvarande risker Identifierade risker som anses vara tolerabla för systemet
och därför tillåts kvarstå samt risker som har blivit
oupptäckta och därför inte har reducerats eller eliminerats.
Plattformar Brukskomponenter på systemnivå 3, dvs. fordons-,
vapensystem, ledningsplatser, sensorsystem och
ledningsträningsanläggningar i vilka SLB avses integreras.
Risk Kombination av sannolikheten för att en olycka inträffar
och konsekvensen av den inträffade olyckan.
Riskkälla Ett tillstånd eller en serie omständigheter hos ett system,
vilka tillsammans med andra förhållanden i dess
omgivning kan leda till en olycka. Riskkälla är ett villkor
eller en förutsättning för en olycka.
SLB Ett stridsledningssystem bataljon som använts av en fullt
utrustad bataljon genomförande avsedda operationer.
Säkerhet Motsatsen till risk, innebär frånvaro av förhållanden som
kan leda till vådahändelser.
Säkerhetskritisk System/delsystem/komponent/funktion där felyttringar
eller interaktion mellan samverkande delar kan leda till
olycka
Vådahändelse Hazardous Event, är en oönskad händelse som inträffar
utan uppsåt och som kan resultera i olycka eller skada.
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 6 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
0.2 Förkortningar 64
AI Anbudsinfordran
BOA Beslut om användning
BT Begränsad tolerabel risk
COTS Commercial Off The Shelf
EHA Environmental Hazard Analysis –
Säkerhetsanalys för miljö
ET Ej tolerabel risk
FM Försvarsmakten
FRACAS Failure Reporting, Analysis and Corrective Action
System - Felrapporteringssystem
FSC Försvarets sjukvårdscentrum
FTA Fault Tree Analysis - Felträdsanalys
GFI Government Furnished Item
Tillhandahållen materiel
HKV Högkvarteret (FM)
LedBaT FMV:s program för att realisera SLB
LSS LedningsStödSystem
MS Materielsystem
MSS Markstridsskola
O&SHA Operating and Support Hazard Analysis –
Säkerhetsanalys för användning och underhåll
OS Operativsystem
PHA Preliminary Hazard Analysis
Preliminär riskkälleanalys
PHAR Preliminary Hazard Analysis Report
Preliminär riskkälleanalysrapport
PHL Preliminary Hazard List
Preliminär riskkällelista
PL Projektledare
RADS Risk Assessment at Disposal of System
Riskanalys för avveckling av system
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 7 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
SAR Safety Assessment Report - Säkerhetsrapport
SCA Safety Compliance Assessment - Säkerhetsutlåtande
SHA System Hazard Analysis - Systemsäkerhetsanalys
SHAR System Hazard Analysis Report –
Systemsäkerhetsanalys Rapport
SLB StridsLedningssystem Bataljon, som används av en fullt
utrustad bataljon genomförande avsedda operationer.
SRA Safety Requiremets Analysis - Säkerhetskravanalys
SRCA Safety Requiremets/Criteria Analysis
Säkerhetskravanalys
SRS Safety Restrictions
Användningsrestriktioner
SS Safety Statement - Säkerhetsgodkännande
SSHA Sub-System Hazard Analysis
Säkerhetsanalys för delsystem
SSM System Safety Manager –
Systemsäkerhetsledare
SSPP System Safety Programme Plan –
Systemsäkerhetsplan
SSPR System Safety Project Review –
Systemsäkerhetsgenomgång
SSWG System Safety Working Group
Arbetsgrupp för systemsäkerhet
SV Safety Verification - Kravverifiering
T Tolerabel risk
TDRS Taktiskt Data Radio System
TSR Training Safety Regulations
Användarmanualer och utbildning
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 8 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
1. Referenser 65
Ref Titel Utfärdat av Datum Dok. Nummer
[1] H SystSäkE FM 1996 M7740-784861
[2] Systemspecifikation
Stridsledningssystem Bataljon
(SSS SLB)
FMV 2004-06-22 LedBaT 027/02
[3] FMV Preliminary Hazard List
SLB C3IS SR1
FMV 2004-04-18 VOLed
33000:27852/04
[4] H ProgSäk FM 2001-12-13 M7762-000531
[5] FMV HazardLog FMV 2008-04-16 LedBaT 029/08
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 9 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
2. Syfte och omfattning 66
Syftet med föreliggande SSPP LedBaT är att: 67
reglera all systemsäkerhetsverksamhet som skall bedrivas för SLB alla livscykler 68
säkerställa erforderligt beslutsunderlag 69
beskriva organisationen som skall genomföra arbete 70
ange ansvarsfördelning 71
beskriva förfarande för att identifiera, analysera och värdera risker, 72
ange regler för eliminering/reducering av risker, 73
beskriva stängning av risker, 74
beskriva ansvarsfördelningen för systemsäkerhet inom FMV och mellan FMV och 75
leverantörer. 76
Systemsäkerhetsarbete avseende SLB bedrivs inom två verksamhetsområden, se Figur 1. 77
AK Led ansvarar för LSS på nivå 4 och lägre samt förmågan som uppstår på nivå 2. 78
AK Mark ansvarar för plattformar med installerade SLB. 79
Föreliggande dokument fokuserar på att belysa verksamheter som bedrivs inom AK Led. 80
Grundförutsättningar gällande för systemsäkerhetsarbetet som t ex aktuella driftprofiler 81
och operativa förhållanden framgår av [2]. 82
Systemsäkerhetsplanen kan komma att revideras allteftersom utvecklingen av systemet 83
fortskrider. 84
SSPP LedBaT är överordnad alla systemsäkerhetsplaner som skall utarbetas av 85
leverantörer. 86
Syfte med genomförande av systemsäkerhetsarbete är att ta fram underlag för 87
säkerhetsgodkännande av systemet så att FM kan ta beslut om användning (BOA). 88
89
90
91
92
93
94
95
96
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 10 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
97
98
99
100
101
102
103
104
105
106
107
Figur 1. Systemsäkerhetsarbete avseende SLB bedrivs inom två verksamhetsområden 108
VO LedVO Mark
kontakter
Installation
Användning av plattformar
med SLB som LSS
Utveckling / anskaffning
av plattformar
Användning av SLB i
plattformar för LSS
Utveckling av SLB
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 11 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
3. Beskrivning av systemet 109
3.1 Teknisk beskrivning 110
SLB utgör grunden för ett generellt ledningsstödssystem för insatsbataljoner inom 111
Försvarsmakten. Verksamheten inom insatsbataljoner och lägre förbandsnivåer inom 112
bataljon kännetecknas av tidskritisk verksamhet där planering, genomförande och 113
utvärdering sker i korta tidscykler. 114
I syfte att stödja bataljonens verksamhet har följande centrala ledningsstödsfunktioner 115
identifierats för SLB: 116
stöd för undvikande av vådabekämpning 117
gemensam lägesbild 118
målhantering 119
orderhantering 120
121
Datakommunikationstjänst
Stöd för
undvikande av
vådabekämpning
Gemensam
lägesbildOrderhanteringMålhantering
MekBat 90
122
123
Figur 2. Centrala ledningsstödsfunktioner i SLB 124
125
För att ovan nämnda ledningsstödsfunktioner, se Figur 2, skall kunna realiseras krävs 126
stöd av en sömlös datakommunikationstjänst där information kontinuerligt kan spridas 127
mellan alla i SLB ingående enheter. Informationen kan spridas på två sätt: 128
en till en enhet 129
en till många (i vissa fall alla) enheter 130
Informationen är i vissa fall tidskritisk, med krav på kort överföringstid, i 131
storleksordningen sekunder, medan annan information har lägre krav på överföringstider. 132
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 12 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Den sömlösa datakommunikationstjänsten hanteras av ett system som kan tänkas bestå av 133
flera radiokomponenter, för att klara kraven på kapacitet och räckvidd. 134
SLB är avsett att installeras på ett flertal olika plattformar; samtliga fordonstyper i 135
bataljonen inklusive banddrivna stridsfordon, samt i ledningscontainer. Dessutom 136
kommer SLB att finnas i en portabel installation, s.k. flexenhet. 137
SLB återbrukar befintlig talkommunikationslösning, inklusive Ra180. 138
3.2 Operationsförhållanden 139
Den mekaniserade bataljonen är ett taktiskt rörligt förband, organiserat och utrustat för 140
strid mot en angripares modernaste mekaniserade förband som understöds av 141
attackhelikoptrar och attackflyg. 142
Anpassning till internationell verksamhet och utveckling av nya metoder för samordning 143
har ändrat de ledningsmetoder som används i stabsarbetet och på stridsfältet. Detta för att, 144
med bataljonsförband, inom ramen för en multinationell insats, kunna delta i 145
fredsfrämjande (Peace Support Operations) operationer med fredsbevarande (Peace 146
Keeping) och fredsframtvingande (Peace Enforcement) uppgifter. 147
SLB skall stödja övergång mellan olika driftfall. 148
Åtminstone följande driftfall skall stödjas av SLB: Fred, Kris, Krig, Övningsverksamhet 149
och Internationell tjänst, [2]. 150
För att lösa tilldelade uppgifter i internationell tjänst, förutsätts att bataljonen är förstärkt 151
eller understöds av överordnad ledningsnivå. Denna nivå svarar för interoperabilitet vid 152
en internationell insats. 153
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 13 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
4. Organisation, ansvar och befogenheter 154
4.1 FMV:s systemsäkerhetsorganisation 155
FMV har det övergripande systemsäkerhetsansvaret för SLB. SLB är upphandlat så att 156
det inte finns en huvudleverantör av SLB utan flera, där FMV samordnar verksamheten 157
och har systemansvar, bl. a för systemsäkerheten. 158
LedBaT övervakar samtliga säkerhetsaktiviteter som bedrivs inom programmet. 159
Arbetet genomförs enligt [1]. 160
SLB kommer att installeras i ett antal plattformar. 161
4.1.1 Projektledare SLB 162
Projektledaren (PL) SLB har ansvaret för alla aktiviteter som genomförs inom ramarna 163
för programmet. Projektledaren är samtidigt systemsäkerhetsledare för projektet. 164
PL SLB ansvarar för och har befogenheter att: 165
utarbeta plan för teknisk ledning och granskningsförfarande 166
etablera intern systemsäkerhetsarbetsgrupp (FMV SSWG) 167
godkänna kravspecifikation för SLB 168
godkänna analysrapporter 169
stänga tolerabla (T) risker för FMV 170
föreslå stängning av begränsat tolerabla (BT) risker till C Teknisk Ledning. 171
4.1.2 FMV SSWG 172
Arbetsgrupp för systemsäkerhet, SSWG har etablerats på FMV, med uppgiften att 173
genomföra och samordna systemsäkerhetsarbete avseende SLB samt att följa upp 174
systemsäkerhetsarbete hos leverantörer. 175
FMV SSWG består av deltagare från FMV och användare. Användare är representanter 176
från FM/MSS som medverkar vid behov, t ex vid utarbetande av PHL. 177
4.2 Leverantörens organisation 178
Varje leverantör skall utse en systemsäkerhetsledare (System Safety Manager, SSM) som 179
skall ansvara för genomförande och samordning av systemsäkerhetsverksamheten inom 180
uppdraget. Leverantörens SSM skall också ansvara för kontakter med FMV i frågor som 181
berör systemsäkerhet. 182
Detaljerade uppgifter om organisation hos respektive leverantör skall redovisas i 183
leverantörens SSPP. 184
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 14 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
4.3 Ansvarsfördelning 185
FMV såsom beställare av artefakter och tjänster tar en roll som förmedlare av artefakter 186
med FMV:s säkerhetsgodkännande mellan leverantörer. 187
Rollfördelningen vad avser ansvarstagande av systemsäkerhet kan beskrivas enligt 188
följande: 189
FM ansvarar för övergripande kravställning på systemet, vilket även inkluderar 190
systemsäkerhetskrav. Under utvecklingstiden ansvarar FM för stängning av 191
eventuella icke tolerabla risker. Slutligen ansvarar FM för beslut om användning 192
(BOA). 193
FMV ansvarar för kravställning av funktionalitet och systemsäkerhetskrav till alla 194
leverantörer. FMV övervakar utvecklingsarbetet hos leverantörerna genom 195
uppföljningsmöten och process för stängning av risker. 196
Installatören ansvarar för att installationen av SLB i resp. plattform inte 197
introducerar större risker än FMV godkänner. 198
Leverantör av ledningsstödssystem LSS ansvarar för att SLB systemet vid 199
användning i en mekaniserad bataljon inte introducerar större risker än vad som 200
anges av FMV. 201
Leverantörer av nyutvecklad GFI materiel ansvarar för att (av FMV) specificerad 202
funktionalitet för aktuell GFI uppfylls. 203
Det ekonomiska ansvaret vid åtgärdande av risker fördelas enligt följande: 204
I det fallet att risken uppstår eftersom en leverantör inte kan uppfylla ett tekniskt 205
krav angett i gällande kontrakt ligger det ekonomiska ansvaret för att åtgärda 206
risken på leverantören. 207
I det fallet att FMV finner att risken ska åtgärdas av en leverantör som inte har 208
kontrakt på att leverera den funktionaliteten faller det ekonomiska ansvaret för att 209
åtgärda risken på FMV. 210
Här har SLB leverantören en särställning som leverantör eftersom de har krav på 211
sig att leverera ett SLB system som ska verka inom ramen för en mekaniserad 212
bataljon med upprätthållande av givna säkerhetsnivåer. Risker som upptäcks i 213
systemsäkerhetsanalyser som uppenbarligen faller inom ramen för SLB 214
leverantörens tekniska åtagande ska åtgärdas av SLB leverantören. Detta ska 215
göras utan att en extra kostnad uppstår för FMV, förutsatt att förutsättningarna för 216
riskens orsaker var givna till SLB leverantören vid tiden för kontraktsskrivningen. 217
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 15 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
5. Av FMV tillhandahållen materiel 218
SLB systemet tas fram med användning av COTS och materiel som återanvänds inom 219
FMV. Denna materiel tillhandahålls av FMV som i och med det fungerar som leverantör 220
och tar leverantörsansvar. 221
Kontrakt med respektive leverantör definierar omfattning av materiel som FMV 222
tillhandahåller och eventuell integrationsansvar för materielen. 223
FMV lämnar säkerhetsgodkännande för tillhandahållen materiel till respektive leverantör. 224
CE märkning av COTS fungerar som säkerhetsgodkännande, under förutsättning att 225
produkten används inom samma användningsområde. Vid ev. förändring i 226
användningsområde, som kan inträffa om COTS integreras i militär miljö, kan CE 227
märkningen behöva kompletteras med ytterligare granskning och utökat 228
säkerhetsgodkännande för den nya, militära tillämpningen. FMV har rätten, att vid behov, 229
avkräva leverantören att redovisa den genomförda analysen som ligger bakom CE 230
märkningen. 231
FMV´s säkerhetsgodkännande implementeras i leverantörens säkerhetsutlåtande för 232
levererat delsystem och gäller under förutsättning att leverantören inte genomför någon 233
modifiering eller åverkan på materielen, se Figur 3. Om sådan modifiering eller ändring 234
är motiverad, skall det godkännas av PL på FMV varvid ett nytt säkerhetsgodkännande 235
utfärdas av Tekniske Chefen (TC) Ledning på FMV. 236
237
Figur 3. Hantering av säkerhetsdokumentationen för av FMV tillhandahållen GFI 238
Leverantören
GFI GFI
FMV FMV
GFI
FMV skriver
säkerhetsgodkännande
för GFI som levereras
till leverantör
Leverantören skriver
ett säkerhetsutlåtande
för det han har utvecklat
inkluderandes GFI
FMV skriver
säkerhetsgodkännande
före leverans till FM
eller till annan leverantör
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 16 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
6. Systemsäkerhetsarbete hos FMV 239
6.1 Beskrivning av aktiviteter 240
Systemsäkerhetsarbete på FMV omfattar: 241
att säkerställa koordination och samordning mellan olika delprodukter ingående i 242
SLB som levereras av olika leverantörer, varvid FMV har samordningsansvar, 243
att på SSPR och i samråd med leverantörer samt med användarna värdera att 244
risker inte påverkar andra delsystem 245
att vid behov bestämma över fördelningen av riskreducerande åtgärder mellan 246
leverantörer och FMV, 247
övervakning att verksamheten som genomförs hos leverantörer under 248
utvecklingen, i syfte att underlätta leveranser och undvika kostnadskrävande 249
korrigeringar och ändringar, 250
att vederbörlig dokumentation tas fram. 251
Arbetsflöde för arbetets genomförande visas i Figur 4. 252
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 17 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Risklista, ursprunglig
Övergripande
risklista
FMV
Risklista
lev.
Identifiera
Analysera
Åtgärda
Verifiera
Identifiera
Värdera
Åtgärda
Förslag till stängning
SAR, SCA
Stänger
Säkerhetsgodkännande (FMV)
BOA (FM)
Verifiering av krav
Systemsäkerhetskrav
SAR, SCA (FMV/projekt)
Utförs under utveckling
av varje leverantör
kontrakterat av FMVUtförs av FMV
Stänger
253
Figur 4. Arbetsflöde för systemsäkerhetsarbete hos FMV och hos leverantören från 254
industri 255
256
Åtgärder för att reducera risker som kan påverka hela systemet/flera leverantörer skall 257
föreslås av leverantören och beslutas av FMV. FMV ansvarar också för fördelning av 258
åtgärder på olika leverantörer, eftersom de är jämställda och det saknas huvudleverantör. 259
Åtgärder som FMV genomför själv och ansvarar för omfattar användning av 260
säkerhetsbarriärer samt utarbetande och revidering av instruktioner och manualer samt 261
SÄKI. 262
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 18 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
6.2 Hantering av risklista 263
Uppföljning av systemsäkerhetsaktiviteter görs primärt i risklistan. Risklista är ett 264
dokument där man redovisar identifierade risker och dokumenterar hantering av dessa 265
risker. Risklistan är ett levande dokument som skall revideras, kompletteras och 266
uppdateras under programmets genomförande. Inget tas bort och allt dokumenteras. 267
Den ursprungliga risklistan tages fram av FMV och bifogades anbudsinfordran för att 268
informera leverantören om risker i systemet och möjliggöra prissättning av det offererade 269
arbetet. 270
Värdering av risker genomförs av FMV med medverkan från användarna. 271
Den ursprungliga risklistan kompletteras under arbetets gång med nya risker som 272
upptäcks av leverantören eller av FMV under pågående analysarbete, och kallas här för 273
den övergripande risklistan. 274
Varje leverantör kommer under arbetets gång att utarbeta sin egen risklista. 275
Om leverantören upptäcker risker som orsakas av det egna levererade delsystemet och 276
kan påverka andra delsystem eller det totala systemet – skall det rapporteras till FMV på 277
SSPR. 278
Dessa risker dokumenteras i FMV övergripande risklista [2] för att dokumentera 279
hantering och ansvarsfördelning som bestäms av FMV, se Figur 5. 280
FMV övergripande risklista skall hantera följande risker: 281
1. risker som finns i den ursprungliga risklistan 282
2. risker vars ansvarsförhållande ännu inte är definierad 283
3. risker som FMV ansvarar för, t ex GFI. 284
Hantering av dessa risker omfattar att vidta åtgärder, lämna kompletterande uppgifter 285
eller att bestämma vem som skall vidta specificerade åtgärder. 286
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 19 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
287
Figur 5. Principer för hantering av övergripande risklista för SLB 288
Förklaring till Figur 5: 289
Vita rutor markerar riskkällor som måste hanteras inom FMV ansvarsområde, vilket kan 290
omfatta: 291
1) tillhandhållen materiel, utbildning och framtagning av instruktioner. Dessa 292
riskkällor ska hanteras i FMV övergripande risklista, 293
2) riskkällor som finns inom respektive leverantörens ansvarsområde och kan 294
påverka hela SLB systemet eller någon annan leverantörs ansvarsområde. Dessa 295
riskkällor ska också hanteras i FMV övergripande risklista eftersom det är FMV 296
som bestämmer fördelning av åtgärder. Detta motiveras med att många 297
säkerhetshöjande förbättringar kan åstadkommas genom en rad olika åtgärder, 298
som har varierande kostnadseffektivitet, 299
3) om topprisken (på systemnivå) kan fördelas på delrisker hos olika leverantörer, 300
skall dessa delrisker registreras i den övergripande risklistan för att säkerställa att 301
topprisken stängs först när alla ingående delrisker är färdigbehandlade och 302
stängda. 303
Skuggade rutor markerar riskkällor som finns inom respektive leverantörens 304
ansvarsområde, de påverkar inte andra delar av SLB systemet, kan hanteras av 305
leverantören och dokumenteras i respektive leverantörens risklista. 306
Risklistan skall innehålla följande uppgifter: 307
a) Riskbeskrivning 308
Riskkälla hos FMV
Hanteras av FMV SSWG
Riskkälla hos leverantören
Risker påverkar SLB-system
enligt beslut på SSPR.
Hanteras av FMV SSWG
Riskkälla hos leverantören.
Risker påverkar inte
andra delar av SLB-system
enligt beslut på SSPR.
Hanteras av lev.
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 20 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
b) Riskägare 309
c) Riskkälla 310
d) Klassificering av konsekvenser 311
e) Orsaker 312
f) Befintliga skydd, spärrar, kontroller 313
g) Klassificering av risker före åtgärd 314
h) Beslutade åtgärder och genomförda åtgärder 315
i) Klassificering av risker efter åtgärd 316
j) Anmärkningar: kommentarer och anteckningar 317
k) Status 318
6.3 FMV SSWG möten 319
Vid FMV SSWG möten skall behandlas: 320
interna uppgifter relaterade till formulering av krav, 321
stängning av tolerabla risker på FMV, 322
samordningsuppgifter omfattande granskning samt hantering av risker som berör 323
flera leverantörer, och 324
samordningsuppgifter som berör gränsytor mot angränsande system. 325
Risker på systemnivå identifierade inom ramarna för FMV´s samordningsarbete 326
dokumenteras i FMV övergripande risklista. 327
FMV skall bestämma över allokeringen av lämpliga åtgärder för hantering av risker på 328
övergripande systemnivå i situationer när flera leverantörer är inblandade. 329
Beslutsunderlag skall utarbetas av FMV SSWG och beslut skall fattas av Projektledaren. 330
Fattade beslut skall dokumenteras och återföras till säkerhetsansvarige hos den 331
leverantören som skall hantera risken eller del av risken. Uppgifterna skall dokumenteras 332
i leverantörens risklista. 333
FMV SSWG skall hålla interna möten på FMV. Vid behov kan andra personer 334
adjungeras. Sammanträden skall hållas regelbundet och minst varannan månad. 335
Tidplanen för FMV SSWG möten revideras kontinuerligt under projektets genomförande 336
och anpassas till milstolparna. 337
Protokoll från FMV SSWG möten skall innehålla följande uppgifter: 338
Ärende 339
Sammanträdes datum och plats 340
Dagordning 341
Deltagarförteckning och sändlista 342
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 21 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Fattade beslut 343
Tid för nästa möte 344
Protokoll skall fastställas av Projektledaren. 345
6.4 Systemsäkerhetsgenomgångar SSPR 346
Säkerhetsgenomgångar SSPR, System Safety Progress Review, med deltagare från FMV 347
SSWG och leverantörens SSM skall genomföras för rapportering och uppföljning av 348
säkerhetsarbete, se Figur 6. 349
350
FMV
SSWG
SSPR
Leverantörs
SSM
351
352
Figur 6. SSPR som forum för formella kontakter mellan FMV och leverantörer 353
Leverantören skall redovisa förutsättningar, metoder och resultat från genomförda 354
analyser. Om systemsäkerhetskraven inte uppnås, skall det rapporteras till FMV 355
programledning. 356
På SSPR behandlas konstruktionsinriktade frågor och åtgärder samt administrativa frågor 357
som t ex analys om risker och olika föreslagna åtgärder påverkar andra system, förslag till 358
klassificering av risker samt stängning av begränsad tolerabla risker. 359
Protokoll vid SSPR skall föras av leverantören. FMV SSWG skall granska protokoll och 360
redovisa eventuella synpunkter till Projektledaren som fastställer protokollet. 361
SSPR möten planeras och genomförs regelbundet, enligt fastställd tidsplan, som skall 362
koordineras med milstolparna för programmet. 363
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 22 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
7. Systemsäkerhetsarbete hos leverantören 364
7.1 Beskrivning av aktiviteter 365
Systemsäkerhetsarbete hos leverantören genomförs enligt regler formulerade i [1]. 366
Leverantör av varje delsystem skall utarbeta egen systemsäkerhetsplan. Dessa 367
underliggande systemsäkerhetsplaner skall samordnas med systemsäkerhetsplanen 368
LedBaT för att på det sättet säkerställa att det totala underlaget för hela 369
systemsäkerhetsarbetet ”knyts” samman, enligt Figur 7. 370
Systemsäkerhetsplan
LedBaT
Leverantörs A
SSPP
Leverantörs B
SSPP
Leverantörs N
SSPP…
371
Figur 7. Samordning av systemsäkerhetsarbete 372
Detaljerade föreskrifter för arbetets genomförande anpassas till varje leverantörens 373
interna, inarbetade rutiner och redovisas i respektive SSPP. Syftet med anpassningen är 374
att uppnå högsta möjliga effektivitet vid uppfyllande av ställda krav. 375
Systemsäkerhetsarbete skall bedrivas i enlighet med de programanpassade krav på 376
systemsäkerhetsarbete som ingår i kontraktet med respektive leverantör. 377
Leverantörens System Safety Manager (SSM) skall: 378
Upprätta leverantörens systemsäkerhetsplan, SSPP 379
Samordna säkerhetsrelaterade frågor med FMV SSWG, med leverantörens 380
projektledning, med personer ansvariga för speciella områden inom leverantörens 381
organisation samt med underleverantörer. 382
Vid behov medverka i framtagningen av specifikationer, metoder och riktlinjer för 383
riskidentifiering och riskanalys. 384
Genomföra säkerhetskravanalys (SRCA) och sammanställa 385
säkerhetsrekommendationer avseende konstruktion, drift, underhåll, förvaring, 386
kassation och säkerhetsrelaterad utbildning. 387
Upprätta och föra risklista 388
Genomföra riskanalyser 389
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 23 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Meddela FMV SSWG om risker som kan ha påverkan på delsystem utanför det 390
egna åtagande. FMV SSWG skall utvärdera risker och besluta om eventuella 391
åtgärder. Leverantören skall genomföra beslutade åtgärder. 392
Definiera, utföra och dokumentera varje säkerhetsrelaterat prov eller verifiering 393
Anordna säkerhetsmöten SSPR med FMV 394
Framställa säkerhetsdokumentation och säkerhetsrapporter med det innehållet 395
som kravställs av FMV. 396
7.2 Beskrivning av dokumentation 397
Genomfört säkerhetsarbete skall dokumenteras. 398
Dokumentationen av genomfört säkerhetsarbete för systemet innehåller: 399
Säkerhetskravanalys SRCA 400
Preliminär riskkällelista PHL 401
Preliminär riskkälleanalys PHA 402
Säkerhetsanalyser av system och delsystem SHA/SSHA 403
Säkerhetsanalys för användning, underhåll och miljö O&SHA/EHA 404
Rapporter om inträffade olyckor och incidenter 405
Användningsrestriktioner SRS, vid behov 406
Riskanalys för avveckling av system RADS 407
Kravverifiering SV 408
Säkerhetsrapport SAR 409
Säkerhetsutlåtande SCA 410
Omfattning av efterfrågad information regleras i respektive AI. 411
7.3 Hantering av risklista 412
Risklista är ett dokument där leverantören skall registrera alla identifierade risker samt 413
dokumentera planerade, beslutade respektive införda riskreducerande åtgärder. 414
Leverantörens hantering av risklista skall beskrivas i leverantörens SSPP. 415
Risklista skall innehålla följande uppgifter: 416
Riskkälla 417
Riskägare 418
Riskbeskrivning 419
Riskklass före åtgärd 420
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 24 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Föreslagen åtgärd med kommentarer 421
Uppgifter om åtgärdens genomförande 422
Riskklass efter åtgärd 423
Riskstatus 424
Förslag om stängning av risken från leverantören. 425
Identifierade risker som kan påverka andra delsystem, utanför åtagandet, rapporteras till 426
FMV på SSPR. 427
Stängning av risker beskrivs i kap. 11 Stängning av risker. 428
7.4 Genomförande av säkerhetsgenomgångar 429
Leverantören skall genomföra systemsäkerhetsgenomgångar (SSPR) med FMV. 430
SSPR skall genomföras enligt överenskommen och fastställd tidsplan. Leverantören 431
skall, inför SSPR, ta fram uppdaterad säkerhetsdokumentation som skall behandlas på 432
mötet. 433
Leverantören skall: 434
Skicka kallelser till möten, senast två veckor innan den planerade tidpunkten för 435
mötet. 436
Distribuera agenda för planerad säkerhetsgenomgång. 437
Justera protokoll från föregående möte. 438
Upprätta protokoll vid möten 439
Distribuera protokoll senast två veckor efter mötet 440
7.5 Handhavandebeskrivningar och manualer 441
Leverantören ansvarar för att redovisa till FMV SSWG resultat från utredningar som 442
motiverar utarbetande av nya eller ändringar i befintliga handhavandebeskrivningar och 443
instruktioner. 444
Användarmanualer och utbildning, Training Safety Regulations, (TSR), utarbetas av 445
FMV i samråd med leverantören och fastställs av HKV. 446
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 25 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
8. Risker 448
8.1 Beskrivning av risker 449
Risk definieras här som kombination av sannolikheten för att en olycka inträffar och 450
konsekvensen av den inträffade olyckan, se Figur 8. 451
Sannolikhet Konsekvens
Risk 452
Figur 8. Definition av risk 453
För att en olycka skall inträffa krävs att en vådahändelse inträffar och att någon eller 454
något skadas på ett inte tolerabelt sätt. Vådahändelse, Hazardous Event, är en oönskad 455
händelse som inträffar utan uppsåt och som kan resultera i olycka eller skada. 456
Typer av risker i systemet redovisas i Tabell 1. 457
Risker Omfattning
Personrisker Personal och tredje man – allmänheten
Egendomsrisker SLB – materiel
Tredje man - militära eller civila objekt
Miljörisker Yttre miljö
Tabell 1 Typer av risker i systemet 458
8.2 Uppskattning av risker 459
Uppskattning av risker omfattar uppskattning av olyckshändelsernas sannolikhet och 460
konsekvens. 461
Frekvens är ett mått på sannolikhet för olyckshändelsens inträffande. 462
Frekvenser klassificeras här i klasser A – E enligt Tabell 2. Systemet som betraktas är en 463
mekaniserad bataljon utrustad med SLB genomförande avsedda operationer. 464
Frekvenserna avser olyckshändelser orsakade av SLB. 465
466
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 26 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Frekvenser skall beaktas utgående från den fastställda drifttiden och driftsprofilen, se [2]. 467
Konsekvenser för människor, egendom och miljö beskrivs i Tabell 3, Tabell 4 och Tabell 468
5. Konsekvensskattning baseras på värsta möjliga skada under de mest ogynnsamma 469
förutsättningarna. 470
Klass Benäm-
ning
Beskrivning Årlig
inträffandefrekvens X
A Frekvent Händelsen inträffar ofta under SLB
systemets livstid
X >1 olyckshändelser
per år
B Trolig Händelsen inträffar flera gånger
under SLB systemets livstid
1>= X >10-1
olyckshändelser per år
C Tillfällig Händelsen inträffar någon gång
under SLB systemets livstid
10-1
>=X >10-2
olyckshändelser per år
D Försumbar Händelsen är osannolik men kan
möjligen inträffa under SLB
systemets livstid
10-2
>=X >10-3
olyckshändelser per år
E Osannolik Händelsen är osannolik, förväntas
inte inträffa under SLB systemets
livstid
10-3
>=X
olyckshändelser per år
Tabell 2 Klassificering av inträffandefrekvenser utgående från kvalitativ 471
uppskattning av årlig inträffandefrekvens (X). 472
Benämning Klass Beskrivning av personskada vid värsta tänkbara fall av olycka
Katastrofal I Dödsfall
Kritisk II Allvarlig personskada: förlust av lem, syn eller motsvarande,
allvarlig ohälsa som resulterar i sjukhusvistelse för minst tre
personer.
Marginell III Mindre allvarlig personskada, besök på vårdcentral för
omplåstring. Sjukskrivning i en eller flera arbetsdagar.
Personen kan återgå till tjänst efter kortare rehabilitering.
Försumbar IV Obetydlig personskada eller ohälsa, omplåstring på
skadeplatsen, personen kan återgå till tjänsten eller lösa andra
fysiskt enklare uppgifter utan att behöva sjukskrivas.
Tabell 3 Kvalitativ beskrivning av konsekvenserna för personskador 473
474
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 27 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
475
Benämning Klass Beskrivning av egendomsskada vid värsta tänkbara fall av
olycka
Katastrofal I Förlust överstigande 10 MSEK eller skada på tredje man
överstigande 1 MSEK
Kritisk II Förlust på mellan 1 MSEK och 10 MSEK eller skada på tredje
man på mellan 100 KSEK och 1 MSEK
Marginell III Förlust på mellan 100 KSEK och 1 MSEK eller skada på
tredje man på mellan 10 KSEK och 100 KSEK
Försumbar IV Förlust understigande 100 KSEK eller skada på tredje man
understigande 10 KSEK
Tabell 4 Kvalitativ beskrivning av konsekvenserna för egendomsskador. 476
477
Benämning Klass Beskrivning av miljöskada vid värsta tänkbara fall av olycka
Katastrofal I Allvarlig, bestående miljöskada förbunden med
lagöverträdelse. Skadan är inte möjlig att återställa.
Kritisk II Mindre allvarlig miljöskada förbunden med lagöverträdelse.
Skadan är möjlig att återställa.
Marginell III Lindrig miljöskada utan lagöverträdelse. Skadan är möjlig att
återställa.
Försumbar IV Obetydlig miljöskada utan lagöverträdelse.
Tabell 5 Kvalitativ beskrivning av konsekvenserna för miljöskador 478
8.3 Tolerabla risknivåer 479
Värdering av risker innebär jämförelse mellan uppskattade risker och tolerabla risknivåer. 480
Det övergripande systemsäkerhetskravet för SLB systemet är: 481
a) Att vara säker vid prov, drift, transport, förvaring, underhåll och kassation 482
avseende person, egendom och miljö. 483
b) Att under sin livstid inte förorsaka någon katastrofal eller kritisk skadehändelse. 484
Krav a) definierar omfattning av risker i systemet, se Tabell 1. 485
Krav b) definierar allvarlighetsgraden av dessa tänkbara olyckor, som inte kan tolereras. 486
SLB-systemet byggs upp av delsystem som utvecklas av olika leverantörer. Leverantörer 487
genomför och redovisar internt säkerhetsarbete enligt överenskomna regler. 488
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 28 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Värdering av risker på systemnivå genomförs separat för risker för personsäkerhet, 489
egendomsrisker och miljörisker, med hjälp av Tabell 6, Tabell 7 och Tabell 8. 490
Frekvenser
Konsekvenser
A
Frekvent
B
Trolig
C
Tillfällig
D
Försumbar
E
Osannolik
I Katastrofal ET ET ET ET BT
II Kritisk ET ET ET BT T
III Marginell ET BT BT T T
IV Försumbar BT T T T T
Tabell 6 Riskvärderingsmatris för personrisker på systemnivå 491
492
Frekvenser
Konsekvenser
A
Frekvent
B
Trolig
C
Tillfällig
D
Försumbar
E
Osannolik
I Katastrofal ET ET ET BT T
II Kritisk ET ET ET BT T
III Marginell ET BT BT T T
IV Försumbar BT T T T T
Tabell 7 Riskvärderingsmatris för egendomsrisker på systemnivå 493
494
Frekvenser
Konsekvenser
A
Frekvent
B
Trolig
C
Tillfällig
D
Försumbar
E
Osannolik
I Katastrofal ET ET ET BT T
II Kritisk ET ET BT T T
III Marginell BT BT T T T
IV Försumbar BT T T T T
Tabell 8 Riskvärderingsmatris för miljörisker på systemnivå. 495
Förklaring: 496
ET – ej tolerabel risk 497
BT – begränsad tolerabel risk, hantering bestäms från fall till fall 498
T – tolerabel risk 499
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 29 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Värdering av risker i maskinvara och programvara genomförs enligt olika principer och 500
redovisas separat. 501
8.4 Värdering av risker i maskinvara 502
Generellt kan både kvantitativa och kvalitativa metoder tillämpas för uppskattning av 503
såväl konsekvenser som sannolikheter för person-, egendoms- eller miljöskador. 504
Kvantitativ uppskattning baseras på dokumenterad erfarenhet av drift av liknande system 505
under liknande eller samma omständigheter. SLB-systemet innehåller flera nyutvecklade 506
delsystem där sådan information inte är tillgänglig varför kvalitativ analys skall tillämpas. 507
8.5 Värdering av risker i programvara 508
Risker i programvara kan inte uppskattas på samma sätt som risker i maskinvara 509
eftersom felintensitet inte går att ange för enbart programvarudelar. Fel i programvara är 510
av systematisk och inte, som för maskinvara, av slumpmässig natur. 511
Olika metoder för säkerhetsanalys, t ex felträdsanalys, FTA kan tillämpas för att 512
identifiera delar av programvaran som är säkerhetskritiska. 513
Kritikalitet är ett diskret mått på hur stor effekt en del av systemet eller ett fel i systemet 514
och avsedd omgivning kan ha på systemsäkerheten, [5]. 515
Kritikalitetsbestämning genomförs enligt följande principer: 516
Övervakande programvara klassificeras med samma kritikalitet som den del den 517
övervakar. 518
Komponent klassificeras med samma kritikalitet som den funktionskedja där den 519
ingår. 520
Programvara, data och kommandosekvens har samma kritikalitet som den del 521
informationen levereras till. 522
Värdering av programvarurisker skall genomföras för att bestämma omfattning av arbete 523
och nödvändiga resurser för uttestning och verifiering av programvara för att reducera 524
systemrisker till nivåer som är tolerabla. 525
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 30 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
9. Åtgärdande av risker 526
9.1 Principer för åtgärdande av risker 527
Risker som bedöms vara ej tolerabla skall åtgärdas. 528
Åtgärder för att reducera risker och på det sättet uppfylla ställda systemsäkerhetskrav 529
väljs företrädesvis i följande ordning: 530
a) Konstruera för att eliminera eller reducera risker, på övergripande systemnivå, till 531
tolerabel nivå 532
b) Infoga skyddsanordningar 533
c) Infoga varningsanordningar 534
d) Utveckla lämpliga säkerhetsföreskrifter och säkra rutiner för drift, underhåll, 535
förvaring och kassation 536
e) Utveckla en lämplig utbildning för drift, underhåll, förvaring och kassation 537
LedBaT skall föreslå eventuella förändringar i den aktuellt gällande SÄKI för att där 538
beskriva nödvändiga säkerhetsbarriärer. 539
Situationen där risker genereras av ena leverantören och har negativa konsekvenser på 540
systemet i helhet eller på andra leverantörens ansvarsområde gäller först och främst 541
förhållandet vid utveckling och implementering av programvara. 542
När leverantören upptäcker risker som inte kan åtgärdas inom åtagandet eller som kan 543
vara enklare och/eller billigare att åtgärda hos någon annan leverantör, skall detta 544
rapporteras till FMV på SSPR. FMV SSWG beslutar därefter vilken leverantör skall 545
åtgärda risken. Denna leverantör skall genomföra nödvändiga åtgärder. 546
9.2 Åtgärdande av risker i programvara 547
Hantering av programvarurisker realiseras genom diverse åtgärder i syfte att uppnå 548
egenskaper hos programvara och programhantering, som bidrar till systemsäkerheten. 549
FMV som har det övergripande ansvaret skall genomföra åtgärder på systemnivå. 550
Leverantören skall genomföra lämpliga åtgärder vid utveckling av programvara. 551
Dessa åtgärder innebär att: 552
arkitektur skall beakta säkerhetsaspekter, (FMV resp. leverantörens ansvar inom 553
respektive ansvarsområde), 554
tillämpade systemlösningar skall vara testbara, (FMV resp. leverantörens ansvar 555
inom respektive ansvarsområde), 556
kritiska programvarudelar skall isoleras fysiskt eller logiskt, (leverantörens 557
ansvar), 558
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 31 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
säkerhetsbarriärer samt skydds- och övervakningssystem skall införas, (FMV 559
resp. leverantörens ansvar inom respektive ansvarsområde), se Figur 9. 560
Åtgärder mot risker tillämpas enligt följande prioritering: 561
a) Eliminera hot från omgivningen eller annan del av systemet. 562
b) Övervaka och styra säkerhetskritisk programvarudel m h a signal- och 563
regelsystem 564
c) Hålla kvarvarande risker under den för systemet fastlagda toleransnivån. 565
d) Avvärja och lindra skador som kvarstående hot trots allt kan medföra. 566
Fel Olycka
Barriär
Barriär
Barriär
567
Figur 9. Användning av barriärer i säkerhetskritiska system 568
Barriärer kan omfatta programvaruskydd som utvecklas av leverantören av programvara, 569
hårdvaruskydd som utvecklas av leverantören av maskinvara samt styrnings- och 570
övervakningsfunktioner som regleras i bl. a SäkI och som FMV ansvarar för. 571
Åberopade barriärer skall utvärderas av konstruktören. Detta innebär att 572
programvaruskydd värderas av leverantören av programvara och övergripande barriärer 573
på systemnivå värderas av FMV. 574
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 32 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
10. Verifiering 575
10.1 Verifiering hos leverantören 576
Varje leverantör skall redovisa vilken standard för verifiering som tillämpas. 577
Varje leverantör skall redovisa metoder för verifiering. 578
Säkerhetsverifiering skall genomföras av leverantören enligt med FMV överenskomna 579
planer och med möjlighet för FMV/FM att delta vid genomförande av 580
verifieringsaktiviteter. 581
10.2 Verifiering hos FMV 582
FMV skall ha rätt men ej skyldighet att medverka vid all verifieringsverksamhet på olika 583
nivåer. Medverkan i och även genomförande av egna verifieringsaktiviteter kan avse t ex: 584
Speciella granskningar avseende systemsäkerhet och människa-maskin 585
anpassning. 586
Deltagande i och övervakning av miljöprovning. 587
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 33 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
11. Stängning av risker 588
11.1 Förutsättningar 589
Stängning av risker skall dokumenteras på risknummerblanketter. 590
Risknummerblankett är ett komplement till risklista. På dessa blanketter skall det finnas 591
en kort beskrivning av risken, vidtagen åtgärd, referens till säkerhetsanalyserna samt 592
undertecknat beslut om stängning av risken. 593
Befogenhet att stänga risker i SLB varierar något beroende på om det är FMV eller 594
leverantören som är ansvarig för risken, se Tabell 9. Risker som kan orsakas av 595
installationen av SLB i olika plattformar stängs på motsvarade sätt av respektive MS, se 596
också Figur 1. 597
Riskvärdering
Risk hos
T BT ET
Leverantören Stängs av
leverantören
Stängs av
C Teknisk Ledning/FMV
Kan stängas av FM
FMV Stängs av
Projektledaren
Stängs av
C Teknisk Ledning/FMV
Kan stängas av FM
Tabell 9 Befogenheter att stänga risker i LedBaT 598
11.2 Stängning av tolerabla risker 599
Risker hos leverantören som klassas som tolerabla stängs av leverantören i konsensus 600
med FMV. Varje leverantör skall utse namngiven beslutsfattare med uppgiften att stänga 601
tolerabla risker hos leverantören. Denna beslutsfattare skall genom samråd med och på 602
rekommendation av SSM redovisa till beställaren bakgrunden till att risker klassificeras 603
som tolerabel. Detta är samtidigt en bekräftelse, att leverantören anser sig genomfört allt 604
nödvändigt arbete för att uppfylla ställda krav. Förslag till klassificering skall presenteras 605
till FMV SSWG på SSPR för att få det accepterat. Efter acceptansen från FMV skall 606
leverantören ta fram risknummerblankett för att dokumentera beslut om stängning. Detta 607
beslut skall bekräftas med namn och underskrift av leverantörens projektledare och 608
överlämnas till FMV. 609
Risker hos FMV som klassas som tolerabla stängs av projektledaren genom att skriva 610
under på risknummerblanketten. FMV SSWG utarbetar ett förslag till stängning av risker 611
hos FMV som klassas som tolerabla. 612
11.3 Stängning av begränsad tolerabla risker 613
Risker hos leverantören som klassas som begränsat tolerabla stängs av C Teknisk 614
Ledning på FMV i konsensus med leverantören. Leverantören överlämnar till SSPR 615
dokumenterat förslag om stängning av risken, för bedömning. Projektledaren stänger 616
risken och C Teknisk Ledning stänger / fastställer stängning av risken. 617
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 34 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
Risker hos FMV som klassas som begränsad tolerabla stängs av C Teknisk Ledning på 618
FMV enligt samma rutin som gäller för tolerabla risker. 619
Risken kan stängas
Datum
Underskrift
Datum
Underskrift Datum
Underskrift Datum
Underskrift
Godkänner Godkänner
1) Lev. SSM 2) Lev. UL 3) Projektledare 4) C Teknisk Ledning
Figur 10. Dokumentering på risknummerblanketten 620
11.4 Stängning av ej tolerabla risker 621
Risker hos leverantören eller hos FMV som klassas som ej tolerabla och kan inte 622
reduceras ytterligare, kan stängas av FM på rekommendation av C Teknisk Ledning på 623
FMV. 624
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 35 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
12. Avvecklingsbetingelser 625
Avveckling av systemet skall förberedas genom att förekomst av allt farligt gods i första 626
hand minimeras vid konstruktion och dokumenteras. Det skall också anges var i systemet 627
dessa farliga ämnen placeras. 628
Personal som kommer att arbeta med underhåll skall vara informerad om förekomsten 629
och placeringen av farligt gods. 630
Leverantören för respektive delsystem ansvarar för att all relevant information skall vara 631
tillgänglig och arkiverad. Arkiveringstiden regleras i respektive kontrakt. När 632
leverantörers ansvarsperiod avslutas skall all information om farligt gods överlämnas till 633
FMV för vidare arkivering, ända till avvecklingsfasen. 634
FMV ansvarar för framtagning och arkivering av motsvarande uppgifter angående 635
tillhandahållen materiel. 636
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 36 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
13. Säkerhetsutlåtande 637
Leverantören skall utarbeta säkerhetsutlåtande (SCA) med entydigt uttalande från 638
leverantören som anger att systemet är säkert under givna förutsättningar. 639
SCA skall utarbetas i enlighet med regler angivna i [1]. 640
Leverantören skall utarbeta underlag till säkerhetsutlåtande för varje leverans (SAR) och 641
överlämna det till FMV för granskning och godkännande senast fyra arbetsveckor före 642
leveransen. 643
Säkerhetsutlåtande skall undertecknas av leverantörens firmatecknare och skall 644
överlämnas vid leveransen. 645
PLAN
Organisation
AK Led Titel
Systemsäkerhetsplan LedBaT
Sida 37 (37)
Uppgjord av
Thomas Lorentzon (Elisabeth Ahlenius)
Version och datum
1.1I, 2009-05-13 Registrering
VO Led 33000:55029/04 LedBaT 032/02
All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.
14. Säkerhetsgodkännande 646
Säkerhetsgodkännande tas fram av FSC och FMV och utgör FSC och FMV intygande om 647
att risker i systemet är analyserade på ett tillfredställande sätt och att var och en av 648
identifierade risker har nedbringats till den av HKV fastställda tolerabla risknivå. 649
Säkerhetsgodkännande skall utformas enligt regler angivna i [1]. 650
Säkerhetsgodkännande fastställs av C Teknisk Ledning på FMV och överlämnas till 651
HKV som underlag för Beslut om Användning (BOA) av systemet. 652
BOA fattas av HKV. 653