1 Systemsäkerhetsplan LedBaT¤k/SSPP_EXEMPEL-STOR.pdf · MekBat 90. 122 123 124 . Figur 2. Centrala ledningsstödsfunktioner i SLB . 125 126 . För att ovan nämnda ledningsstödsfunktioner,

PLAN

Organisation

AK Led Titel

Systemsäkerhetsplan LedBaT

Sida 1 (37)

Uppgjord av

Thomas Lorentzon (Elisabeth Ahlenius)

Version och datum

1.1I, 2009-05-13 Registrering

VO Led 33000:55029/04 LedBaT 032/02

All rights strictly reserved. Reproduction or issue to third parties in any form whatever is not permitted without written authority from the proprietors.

Systemsäkerhetsplan LedBaT 1

2

3

4

Fastställd: LedBaT CCB no 5

Datum: 6

2008-XX XX7

A301046

Anteckning

OBS! Denna plan är under arbete för fastställande. Några avsnitt i texten är under bearbetning.

PLAN

Organisation

AK Led Titel


Sida 2 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Revisionshistoria 8

Version Uppgjord

av

Beskrivning Datum

1.0 BEHJO Första fastställda utgåvan 2003-04-25

1.1A BEHJO Omarbetning 2004-01-15

1.1B BEHJO Omarbetning efter möte 2004-06-03, synpunkter från

HAKAR, kompletterat med ansvarsfördelning, dok nr,

ÄÄ034

2004-11-15

1.1C BEHJO Omarbetning enligt granskningsprotokoll nr LedBaT

008/04 samt synpunkter från ARAL.

2004-12-22

1.1D BEHJO Omarbetning enligt synpunkter från ARAL. 2005-01-20

1.1E BEHJO Omarbetning enligt synpunkter från VO Mark 2005-02-25

1.1F BEHJO Omarbetning enligt inkomna synpunkter, protokoll

070/05.

2005-03-15

1.1G BEHJO Omarbetning enligt kontraktuela förutsättningar. 2006-02-02

1.1H EHAH Omarbetning enligt aktuella förutsättningar. 2008-10-10

1.1I EHAH Omarbetning efter granskning av Adam Narel 2009-05-13

9

PLAN

Organisation

AK Led Titel


Sida 3 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Innehållsförteckning 10

0.1 Terminologi .......................................................................................................... 5 11

0.2 Förkortningar ....................................................................................................... 6 12

1. Referenser ........................................................................................................................................ 8 13

2. Syfte och omfattning........................................................................................................................ 9 14

3. Beskrivning av systemet ............................................................................................................... 11 15

3.1 Teknisk beskrivning ........................................................................................... 11 16

3.2 Operationsförhållanden...................................................................................... 12 17

4. Organisation, ansvar och befogenheter....................................................................................... 13 18

4.1 FMV:s systemsäkerhetsorganisation ................................................................. 13 19

4.1.1 Projektledare SLB ...................................................................................... 13 20

4.1.2 FMV SSWG ............................................................................................... 13 21

4.2 Leverantörens organisation ............................................................................... 13 22

4.3 Ansvarsfördelning .............................................................................................. 14 23

5. Av FMV tillhandahållen materiel ................................................................................................... 15 24

6. Systemsäkerhetsarbete hos FMV ................................................................................................. 16 25

6.1 Beskrivning av aktiviteter ................................................................................... 16 26

6.2 Hantering av risklista ......................................................................................... 18 27

6.3 FMV SSWG möten ............................................................................................ 20 28

6.4 Systemsäkerhetsgenomgångar SSPR ............................................................... 21 29

7. Systemsäkerhetsarbete hos leverantören ................................................................................... 22 30

7.1 Beskrivning av aktiviteter ................................................................................... 22 31

7.2 Beskrivning av dokumentation ........................................................................... 23 32

7.3 Hantering av risklista ......................................................................................... 23 33

7.4 Genomförande av säkerhetsgenomgångar ........................................................ 24 34

7.5 Handhavandebeskrivningar och manualer ......................................................... 24 35

8. Risker .............................................................................................................................................. 25 36

8.1 Beskrivning av risker .......................................................................................... 25 37

8.2 Uppskattning av risker ....................................................................................... 25 38

8.3 Tolerabla risknivåer ........................................................................................... 27 39

8.4 Värdering av risker i maskinvara ........................................................................ 29 40

8.5 Värdering av risker i programvara ...................................................................... 29 41

9. Åtgärdande av risker...................................................................................................................... 30 42

9.1 Principer för åtgärdande av risker ...................................................................... 30 43

9.2 Åtgärdande av risker i programvara ................................................................... 30 44

10. Verifiering ....................................................................................................................................... 32 45

10.1 Verifiering hos leverantören ............................................................................... 32 46

10.2 Verifiering hos FMV ........................................................................................... 32 47

11. Stängning av risker ........................................................................................................................ 33 48

11.1 Förutsättningar .................................................................................................. 33 49

11.2 Stängning av tolerabla risker ............................................................................. 33 50

11.3 Stängning av begränsad tolerabla risker ............................................................ 33 51

11.4 Stängning av ej tolerabla risker .......................................................................... 34 52

12. Avvecklingsbetingelser ................................................................................................................. 35 53

PLAN

Organisation

AK Led Titel


Sida 4 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


13. Säkerhetsutlåtande ........................................................................................................................ 36 54

14. Säkerhetsgodkännande ................................................................................................................. 37 55

56

57

58

59

PLAN

Organisation

AK Led Titel


Sida 5 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


0. Terminologi och förkortningar 60

Terminologi och förkortningar är hämtade från H SystSäk och H ProgSäk och redovisas 61

här för att underlätta läsningen. 62

0.1 Terminologi 63

Delsystem Ett fristående system konstruerat för att utföra en eller

flera specifika uppgifter, med möjligheten att integreras

med andra delsystem.

Enkelfel En felorsak, som ensam kan leda till felaktigt

systembeteende.

Komponent Minsta testbara enhet.

Separatkompilerbar programkod

Kritikalitet Diskret mått på hur stor effekt en del av systemet eller ett

fel i systemet och avsedd omgivning kan ha på

systemsäkerheten.

Kvarvarande risker Identifierade risker som anses vara tolerabla för systemet

och därför tillåts kvarstå samt risker som har blivit

oupptäckta och därför inte har reducerats eller eliminerats.

Plattformar Brukskomponenter på systemnivå 3, dvs. fordons-,

vapensystem, ledningsplatser, sensorsystem och

ledningsträningsanläggningar i vilka SLB avses integreras.

Risk Kombination av sannolikheten för att en olycka inträffar

och konsekvensen av den inträffade olyckan.

Riskkälla Ett tillstånd eller en serie omständigheter hos ett system,

vilka tillsammans med andra förhållanden i dess

omgivning kan leda till en olycka. Riskkälla är ett villkor

eller en förutsättning för en olycka.

SLB Ett stridsledningssystem bataljon som använts av en fullt

utrustad bataljon genomförande avsedda operationer.

Säkerhet Motsatsen till risk, innebär frånvaro av förhållanden som

kan leda till vådahändelser.

Säkerhetskritisk System/delsystem/komponent/funktion där felyttringar

eller interaktion mellan samverkande delar kan leda till

olycka

Vådahändelse Hazardous Event, är en oönskad händelse som inträffar

utan uppsåt och som kan resultera i olycka eller skada.

PLAN

Organisation

AK Led Titel


Sida 6 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


0.2 Förkortningar 64

AI Anbudsinfordran

BOA Beslut om användning

BT Begränsad tolerabel risk

COTS Commercial Off The Shelf

EHA Environmental Hazard Analysis –

Säkerhetsanalys för miljö

ET Ej tolerabel risk

FM Försvarsmakten

FRACAS Failure Reporting, Analysis and Corrective Action

System - Felrapporteringssystem

FSC Försvarets sjukvårdscentrum

FTA Fault Tree Analysis - Felträdsanalys

GFI Government Furnished Item

Tillhandahållen materiel

HKV Högkvarteret (FM)

LedBaT FMV:s program för att realisera SLB

LSS LedningsStödSystem

MS Materielsystem

MSS Markstridsskola

O&SHA Operating and Support Hazard Analysis –

Säkerhetsanalys för användning och underhåll

OS Operativsystem

PHA Preliminary Hazard Analysis

Preliminär riskkälleanalys

PHAR Preliminary Hazard Analysis Report

Preliminär riskkälleanalysrapport

PHL Preliminary Hazard List

Preliminär riskkällelista

PL Projektledare

RADS Risk Assessment at Disposal of System

Riskanalys för avveckling av system

PLAN

Organisation

AK Led Titel


Sida 7 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


SAR Safety Assessment Report - Säkerhetsrapport

SCA Safety Compliance Assessment - Säkerhetsutlåtande

SHA System Hazard Analysis - Systemsäkerhetsanalys

SHAR System Hazard Analysis Report –

Systemsäkerhetsanalys Rapport

SLB StridsLedningssystem Bataljon, som används av en fullt

utrustad bataljon genomförande avsedda operationer.

SRA Safety Requiremets Analysis - Säkerhetskravanalys

SRCA Safety Requiremets/Criteria Analysis

Säkerhetskravanalys

SRS Safety Restrictions

Användningsrestriktioner

SS Safety Statement - Säkerhetsgodkännande

SSHA Sub-System Hazard Analysis

Säkerhetsanalys för delsystem

SSM System Safety Manager –

Systemsäkerhetsledare

SSPP System Safety Programme Plan –

Systemsäkerhetsplan

SSPR System Safety Project Review –

Systemsäkerhetsgenomgång

SSWG System Safety Working Group

Arbetsgrupp för systemsäkerhet

SV Safety Verification - Kravverifiering

T Tolerabel risk

TDRS Taktiskt Data Radio System

TSR Training Safety Regulations

Användarmanualer och utbildning

PLAN

Organisation

AK Led Titel


Sida 8 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


1. Referenser 65

Ref Titel Utfärdat av Datum Dok. Nummer

[1] H SystSäkE FM 1996 M7740-784861

[2] Systemspecifikation

Stridsledningssystem Bataljon

(SSS SLB)

FMV 2004-06-22 LedBaT 027/02

[3] FMV Preliminary Hazard List

SLB C3IS SR1

FMV 2004-04-18 VOLed

33000:27852/04

[4] H ProgSäk FM 2001-12-13 M7762-000531

[5] FMV HazardLog FMV 2008-04-16 LedBaT 029/08

PLAN

Organisation

AK Led Titel


Sida 9 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


2. Syfte och omfattning 66

Syftet med föreliggande SSPP LedBaT är att: 67

reglera all systemsäkerhetsverksamhet som skall bedrivas för SLB alla livscykler 68

säkerställa erforderligt beslutsunderlag 69

beskriva organisationen som skall genomföra arbete 70

ange ansvarsfördelning 71

beskriva förfarande för att identifiera, analysera och värdera risker, 72

ange regler för eliminering/reducering av risker, 73

beskriva stängning av risker, 74

beskriva ansvarsfördelningen för systemsäkerhet inom FMV och mellan FMV och 75

leverantörer. 76

Systemsäkerhetsarbete avseende SLB bedrivs inom två verksamhetsområden, se Figur 1. 77

AK Led ansvarar för LSS på nivå 4 och lägre samt förmågan som uppstår på nivå 2. 78

AK Mark ansvarar för plattformar med installerade SLB. 79

Föreliggande dokument fokuserar på att belysa verksamheter som bedrivs inom AK Led. 80

Grundförutsättningar gällande för systemsäkerhetsarbetet som t ex aktuella driftprofiler 81

och operativa förhållanden framgår av [2]. 82

Systemsäkerhetsplanen kan komma att revideras allteftersom utvecklingen av systemet 83

fortskrider. 84

SSPP LedBaT är överordnad alla systemsäkerhetsplaner som skall utarbetas av 85

leverantörer. 86

Syfte med genomförande av systemsäkerhetsarbete är att ta fram underlag för 87

säkerhetsgodkännande av systemet så att FM kan ta beslut om användning (BOA). 88

89

90

91

92

93

94

95

96

PLAN

Organisation

AK Led Titel


Sida 10 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


97

98

99

100

101

102

103

104

105

106

107

Figur 1. Systemsäkerhetsarbete avseende SLB bedrivs inom två verksamhetsområden 108

VO LedVO Mark

kontakter

Installation

Användning av plattformar

med SLB som LSS

Utveckling / anskaffning

av plattformar

Användning av SLB i

plattformar för LSS

Utveckling av SLB

PLAN

Organisation

AK Led Titel


Sida 11 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


3. Beskrivning av systemet 109

3.1 Teknisk beskrivning 110

SLB utgör grunden för ett generellt ledningsstödssystem för insatsbataljoner inom 111

Försvarsmakten. Verksamheten inom insatsbataljoner och lägre förbandsnivåer inom 112

bataljon kännetecknas av tidskritisk verksamhet där planering, genomförande och 113

utvärdering sker i korta tidscykler. 114

I syfte att stödja bataljonens verksamhet har följande centrala ledningsstödsfunktioner 115

identifierats för SLB: 116

stöd för undvikande av vådabekämpning 117

gemensam lägesbild 118

målhantering 119

orderhantering 120

121

Datakommunikationstjänst

Stöd för

undvikande av

vådabekämpning

Gemensam

lägesbildOrderhanteringMålhantering

MekBat 90

122

123

Figur 2. Centrala ledningsstödsfunktioner i SLB 124

125

För att ovan nämnda ledningsstödsfunktioner, se Figur 2, skall kunna realiseras krävs 126

stöd av en sömlös datakommunikationstjänst där information kontinuerligt kan spridas 127

mellan alla i SLB ingående enheter. Informationen kan spridas på två sätt: 128

en till en enhet 129

en till många (i vissa fall alla) enheter 130

Informationen är i vissa fall tidskritisk, med krav på kort överföringstid, i 131

storleksordningen sekunder, medan annan information har lägre krav på överföringstider. 132

PLAN

Organisation

AK Led Titel


Sida 12 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Den sömlösa datakommunikationstjänsten hanteras av ett system som kan tänkas bestå av 133

flera radiokomponenter, för att klara kraven på kapacitet och räckvidd. 134

SLB är avsett att installeras på ett flertal olika plattformar; samtliga fordonstyper i 135

bataljonen inklusive banddrivna stridsfordon, samt i ledningscontainer. Dessutom 136

kommer SLB att finnas i en portabel installation, s.k. flexenhet. 137

SLB återbrukar befintlig talkommunikationslösning, inklusive Ra180. 138

3.2 Operationsförhållanden 139

Den mekaniserade bataljonen är ett taktiskt rörligt förband, organiserat och utrustat för 140

strid mot en angripares modernaste mekaniserade förband som understöds av 141

attackhelikoptrar och attackflyg. 142

Anpassning till internationell verksamhet och utveckling av nya metoder för samordning 143

har ändrat de ledningsmetoder som används i stabsarbetet och på stridsfältet. Detta för att, 144

med bataljonsförband, inom ramen för en multinationell insats, kunna delta i 145

fredsfrämjande (Peace Support Operations) operationer med fredsbevarande (Peace 146

Keeping) och fredsframtvingande (Peace Enforcement) uppgifter. 147

SLB skall stödja övergång mellan olika driftfall. 148

Åtminstone följande driftfall skall stödjas av SLB: Fred, Kris, Krig, Övningsverksamhet 149

och Internationell tjänst, [2]. 150

För att lösa tilldelade uppgifter i internationell tjänst, förutsätts att bataljonen är förstärkt 151

eller understöds av överordnad ledningsnivå. Denna nivå svarar för interoperabilitet vid 152

en internationell insats. 153

PLAN

Organisation

AK Led Titel


Sida 13 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


4. Organisation, ansvar och befogenheter 154

4.1 FMV:s systemsäkerhetsorganisation 155

FMV har det övergripande systemsäkerhetsansvaret för SLB. SLB är upphandlat så att 156

det inte finns en huvudleverantör av SLB utan flera, där FMV samordnar verksamheten 157

och har systemansvar, bl. a för systemsäkerheten. 158

LedBaT övervakar samtliga säkerhetsaktiviteter som bedrivs inom programmet. 159

Arbetet genomförs enligt [1]. 160

SLB kommer att installeras i ett antal plattformar. 161

4.1.1 Projektledare SLB 162

Projektledaren (PL) SLB har ansvaret för alla aktiviteter som genomförs inom ramarna 163

för programmet. Projektledaren är samtidigt systemsäkerhetsledare för projektet. 164

PL SLB ansvarar för och har befogenheter att: 165

utarbeta plan för teknisk ledning och granskningsförfarande 166

etablera intern systemsäkerhetsarbetsgrupp (FMV SSWG) 167

godkänna kravspecifikation för SLB 168

godkänna analysrapporter 169

stänga tolerabla (T) risker för FMV 170

föreslå stängning av begränsat tolerabla (BT) risker till C Teknisk Ledning. 171

4.1.2 FMV SSWG 172

Arbetsgrupp för systemsäkerhet, SSWG har etablerats på FMV, med uppgiften att 173

genomföra och samordna systemsäkerhetsarbete avseende SLB samt att följa upp 174

systemsäkerhetsarbete hos leverantörer. 175

FMV SSWG består av deltagare från FMV och användare. Användare är representanter 176

från FM/MSS som medverkar vid behov, t ex vid utarbetande av PHL. 177

4.2 Leverantörens organisation 178

Varje leverantör skall utse en systemsäkerhetsledare (System Safety Manager, SSM) som 179

skall ansvara för genomförande och samordning av systemsäkerhetsverksamheten inom 180

uppdraget. Leverantörens SSM skall också ansvara för kontakter med FMV i frågor som 181

berör systemsäkerhet. 182

Detaljerade uppgifter om organisation hos respektive leverantör skall redovisas i 183

leverantörens SSPP. 184

PLAN

Organisation

AK Led Titel


Sida 14 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


4.3 Ansvarsfördelning 185

FMV såsom beställare av artefakter och tjänster tar en roll som förmedlare av artefakter 186

med FMV:s säkerhetsgodkännande mellan leverantörer. 187

Rollfördelningen vad avser ansvarstagande av systemsäkerhet kan beskrivas enligt 188

följande: 189

FM ansvarar för övergripande kravställning på systemet, vilket även inkluderar 190

systemsäkerhetskrav. Under utvecklingstiden ansvarar FM för stängning av 191

eventuella icke tolerabla risker. Slutligen ansvarar FM för beslut om användning 192

(BOA). 193

FMV ansvarar för kravställning av funktionalitet och systemsäkerhetskrav till alla 194

leverantörer. FMV övervakar utvecklingsarbetet hos leverantörerna genom 195

uppföljningsmöten och process för stängning av risker. 196

Installatören ansvarar för att installationen av SLB i resp. plattform inte 197

introducerar större risker än FMV godkänner. 198

Leverantör av ledningsstödssystem LSS ansvarar för att SLB systemet vid 199

användning i en mekaniserad bataljon inte introducerar större risker än vad som 200

anges av FMV. 201

Leverantörer av nyutvecklad GFI materiel ansvarar för att (av FMV) specificerad 202

funktionalitet för aktuell GFI uppfylls. 203

Det ekonomiska ansvaret vid åtgärdande av risker fördelas enligt följande: 204

I det fallet att risken uppstår eftersom en leverantör inte kan uppfylla ett tekniskt 205

krav angett i gällande kontrakt ligger det ekonomiska ansvaret för att åtgärda 206

risken på leverantören. 207

I det fallet att FMV finner att risken ska åtgärdas av en leverantör som inte har 208

kontrakt på att leverera den funktionaliteten faller det ekonomiska ansvaret för att 209

åtgärda risken på FMV. 210

Här har SLB leverantören en särställning som leverantör eftersom de har krav på 211

sig att leverera ett SLB system som ska verka inom ramen för en mekaniserad 212

bataljon med upprätthållande av givna säkerhetsnivåer. Risker som upptäcks i 213

systemsäkerhetsanalyser som uppenbarligen faller inom ramen för SLB 214

leverantörens tekniska åtagande ska åtgärdas av SLB leverantören. Detta ska 215

göras utan att en extra kostnad uppstår för FMV, förutsatt att förutsättningarna för 216

riskens orsaker var givna till SLB leverantören vid tiden för kontraktsskrivningen. 217

PLAN

Organisation

AK Led Titel


Sida 15 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


5. Av FMV tillhandahållen materiel 218

SLB systemet tas fram med användning av COTS och materiel som återanvänds inom 219

FMV. Denna materiel tillhandahålls av FMV som i och med det fungerar som leverantör 220

och tar leverantörsansvar. 221

Kontrakt med respektive leverantör definierar omfattning av materiel som FMV 222

tillhandahåller och eventuell integrationsansvar för materielen. 223

FMV lämnar säkerhetsgodkännande för tillhandahållen materiel till respektive leverantör. 224

CE märkning av COTS fungerar som säkerhetsgodkännande, under förutsättning att 225

produkten används inom samma användningsområde. Vid ev. förändring i 226

användningsområde, som kan inträffa om COTS integreras i militär miljö, kan CE 227

märkningen behöva kompletteras med ytterligare granskning och utökat 228

säkerhetsgodkännande för den nya, militära tillämpningen. FMV har rätten, att vid behov, 229

avkräva leverantören att redovisa den genomförda analysen som ligger bakom CE 230

märkningen. 231

FMV´s säkerhetsgodkännande implementeras i leverantörens säkerhetsutlåtande för 232

levererat delsystem och gäller under förutsättning att leverantören inte genomför någon 233

modifiering eller åverkan på materielen, se Figur 3. Om sådan modifiering eller ändring 234

är motiverad, skall det godkännas av PL på FMV varvid ett nytt säkerhetsgodkännande 235

utfärdas av Tekniske Chefen (TC) Ledning på FMV. 236

237

Figur 3. Hantering av säkerhetsdokumentationen för av FMV tillhandahållen GFI 238

Leverantören

GFI GFI

FMV FMV

GFI

FMV skriver

säkerhetsgodkännande

för GFI som levereras

till leverantör

Leverantören skriver

ett säkerhetsutlåtande

för det han har utvecklat

inkluderandes GFI

FMV skriver

säkerhetsgodkännande

före leverans till FM

eller till annan leverantör

PLAN

Organisation

AK Led Titel


Sida 16 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


6. Systemsäkerhetsarbete hos FMV 239

6.1 Beskrivning av aktiviteter 240

Systemsäkerhetsarbete på FMV omfattar: 241

att säkerställa koordination och samordning mellan olika delprodukter ingående i 242

SLB som levereras av olika leverantörer, varvid FMV har samordningsansvar, 243

att på SSPR och i samråd med leverantörer samt med användarna värdera att 244

risker inte påverkar andra delsystem 245

att vid behov bestämma över fördelningen av riskreducerande åtgärder mellan 246

leverantörer och FMV, 247

övervakning att verksamheten som genomförs hos leverantörer under 248

utvecklingen, i syfte att underlätta leveranser och undvika kostnadskrävande 249

korrigeringar och ändringar, 250

att vederbörlig dokumentation tas fram. 251

Arbetsflöde för arbetets genomförande visas i Figur 4. 252

PLAN

Organisation

AK Led Titel


Sida 17 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Risklista, ursprunglig

Övergripande

risklista

FMV

Risklista

lev.

Identifiera

Analysera

Åtgärda

Verifiera

Identifiera

Värdera

Åtgärda

Förslag till stängning

SAR, SCA

Stänger

Säkerhetsgodkännande (FMV)

BOA (FM)

Verifiering av krav

Systemsäkerhetskrav

SAR, SCA (FMV/projekt)

Utförs under utveckling

av varje leverantör

kontrakterat av FMVUtförs av FMV

Stänger

253

Figur 4. Arbetsflöde för systemsäkerhetsarbete hos FMV och hos leverantören från 254

industri 255

256

Åtgärder för att reducera risker som kan påverka hela systemet/flera leverantörer skall 257

föreslås av leverantören och beslutas av FMV. FMV ansvarar också för fördelning av 258

åtgärder på olika leverantörer, eftersom de är jämställda och det saknas huvudleverantör. 259

Åtgärder som FMV genomför själv och ansvarar för omfattar användning av 260

säkerhetsbarriärer samt utarbetande och revidering av instruktioner och manualer samt 261

SÄKI. 262

PLAN

Organisation

AK Led Titel


Sida 18 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


6.2 Hantering av risklista 263

Uppföljning av systemsäkerhetsaktiviteter görs primärt i risklistan. Risklista är ett 264

dokument där man redovisar identifierade risker och dokumenterar hantering av dessa 265

risker. Risklistan är ett levande dokument som skall revideras, kompletteras och 266

uppdateras under programmets genomförande. Inget tas bort och allt dokumenteras. 267

Den ursprungliga risklistan tages fram av FMV och bifogades anbudsinfordran för att 268

informera leverantören om risker i systemet och möjliggöra prissättning av det offererade 269

arbetet. 270

Värdering av risker genomförs av FMV med medverkan från användarna. 271

Den ursprungliga risklistan kompletteras under arbetets gång med nya risker som 272

upptäcks av leverantören eller av FMV under pågående analysarbete, och kallas här för 273

den övergripande risklistan. 274

Varje leverantör kommer under arbetets gång att utarbeta sin egen risklista. 275

Om leverantören upptäcker risker som orsakas av det egna levererade delsystemet och 276

kan påverka andra delsystem eller det totala systemet – skall det rapporteras till FMV på 277

SSPR. 278

Dessa risker dokumenteras i FMV övergripande risklista [2] för att dokumentera 279

hantering och ansvarsfördelning som bestäms av FMV, se Figur 5. 280

FMV övergripande risklista skall hantera följande risker: 281

1. risker som finns i den ursprungliga risklistan 282

2. risker vars ansvarsförhållande ännu inte är definierad 283

3. risker som FMV ansvarar för, t ex GFI. 284

Hantering av dessa risker omfattar att vidta åtgärder, lämna kompletterande uppgifter 285

eller att bestämma vem som skall vidta specificerade åtgärder. 286

PLAN

Organisation

AK Led Titel


Sida 19 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


287

Figur 5. Principer för hantering av övergripande risklista för SLB 288

Förklaring till Figur 5: 289

Vita rutor markerar riskkällor som måste hanteras inom FMV ansvarsområde, vilket kan 290

omfatta: 291

1) tillhandhållen materiel, utbildning och framtagning av instruktioner. Dessa 292

riskkällor ska hanteras i FMV övergripande risklista, 293

2) riskkällor som finns inom respektive leverantörens ansvarsområde och kan 294

påverka hela SLB systemet eller någon annan leverantörs ansvarsområde. Dessa 295

riskkällor ska också hanteras i FMV övergripande risklista eftersom det är FMV 296

som bestämmer fördelning av åtgärder. Detta motiveras med att många 297

säkerhetshöjande förbättringar kan åstadkommas genom en rad olika åtgärder, 298

som har varierande kostnadseffektivitet, 299

3) om topprisken (på systemnivå) kan fördelas på delrisker hos olika leverantörer, 300

skall dessa delrisker registreras i den övergripande risklistan för att säkerställa att 301

topprisken stängs först när alla ingående delrisker är färdigbehandlade och 302

stängda. 303

Skuggade rutor markerar riskkällor som finns inom respektive leverantörens 304

ansvarsområde, de påverkar inte andra delar av SLB systemet, kan hanteras av 305

leverantören och dokumenteras i respektive leverantörens risklista. 306

Risklistan skall innehålla följande uppgifter: 307

a) Riskbeskrivning 308

Riskkälla hos FMV

Hanteras av FMV SSWG

Riskkälla hos leverantören

Risker påverkar SLB-system

enligt beslut på SSPR.

Hanteras av FMV SSWG

Riskkälla hos leverantören.

Risker påverkar inte

andra delar av SLB-system

enligt beslut på SSPR.

Hanteras av lev.

PLAN

Organisation

AK Led Titel


Sida 20 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


b) Riskägare 309

c) Riskkälla 310

d) Klassificering av konsekvenser 311

e) Orsaker 312

f) Befintliga skydd, spärrar, kontroller 313

g) Klassificering av risker före åtgärd 314

h) Beslutade åtgärder och genomförda åtgärder 315

i) Klassificering av risker efter åtgärd 316

j) Anmärkningar: kommentarer och anteckningar 317

k) Status 318

6.3 FMV SSWG möten 319

Vid FMV SSWG möten skall behandlas: 320

interna uppgifter relaterade till formulering av krav, 321

stängning av tolerabla risker på FMV, 322

samordningsuppgifter omfattande granskning samt hantering av risker som berör 323

flera leverantörer, och 324

samordningsuppgifter som berör gränsytor mot angränsande system. 325

Risker på systemnivå identifierade inom ramarna för FMV´s samordningsarbete 326

dokumenteras i FMV övergripande risklista. 327

FMV skall bestämma över allokeringen av lämpliga åtgärder för hantering av risker på 328

övergripande systemnivå i situationer när flera leverantörer är inblandade. 329

Beslutsunderlag skall utarbetas av FMV SSWG och beslut skall fattas av Projektledaren. 330

Fattade beslut skall dokumenteras och återföras till säkerhetsansvarige hos den 331

leverantören som skall hantera risken eller del av risken. Uppgifterna skall dokumenteras 332

i leverantörens risklista. 333

FMV SSWG skall hålla interna möten på FMV. Vid behov kan andra personer 334

adjungeras. Sammanträden skall hållas regelbundet och minst varannan månad. 335

Tidplanen för FMV SSWG möten revideras kontinuerligt under projektets genomförande 336

och anpassas till milstolparna. 337

Protokoll från FMV SSWG möten skall innehålla följande uppgifter: 338

Ärende 339

Sammanträdes datum och plats 340

Dagordning 341

Deltagarförteckning och sändlista 342

PLAN

Organisation

AK Led Titel


Sida 21 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Fattade beslut 343

Tid för nästa möte 344

Protokoll skall fastställas av Projektledaren. 345

6.4 Systemsäkerhetsgenomgångar SSPR 346

Säkerhetsgenomgångar SSPR, System Safety Progress Review, med deltagare från FMV 347

SSWG och leverantörens SSM skall genomföras för rapportering och uppföljning av 348

säkerhetsarbete, se Figur 6. 349

350

FMV

SSWG

SSPR

Leverantörs

SSM

351

352

Figur 6. SSPR som forum för formella kontakter mellan FMV och leverantörer 353

Leverantören skall redovisa förutsättningar, metoder och resultat från genomförda 354

analyser. Om systemsäkerhetskraven inte uppnås, skall det rapporteras till FMV 355

programledning. 356

På SSPR behandlas konstruktionsinriktade frågor och åtgärder samt administrativa frågor 357

som t ex analys om risker och olika föreslagna åtgärder påverkar andra system, förslag till 358

klassificering av risker samt stängning av begränsad tolerabla risker. 359

Protokoll vid SSPR skall föras av leverantören. FMV SSWG skall granska protokoll och 360

redovisa eventuella synpunkter till Projektledaren som fastställer protokollet. 361

SSPR möten planeras och genomförs regelbundet, enligt fastställd tidsplan, som skall 362

koordineras med milstolparna för programmet. 363

PLAN

Organisation

AK Led Titel


Sida 22 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


7. Systemsäkerhetsarbete hos leverantören 364

7.1 Beskrivning av aktiviteter 365

Systemsäkerhetsarbete hos leverantören genomförs enligt regler formulerade i [1]. 366

Leverantör av varje delsystem skall utarbeta egen systemsäkerhetsplan. Dessa 367

underliggande systemsäkerhetsplaner skall samordnas med systemsäkerhetsplanen 368

LedBaT för att på det sättet säkerställa att det totala underlaget för hela 369

systemsäkerhetsarbetet ”knyts” samman, enligt Figur 7. 370

Systemsäkerhetsplan

LedBaT

Leverantörs A

SSPP

Leverantörs B

SSPP

Leverantörs N

SSPP…

371

Figur 7. Samordning av systemsäkerhetsarbete 372

Detaljerade föreskrifter för arbetets genomförande anpassas till varje leverantörens 373

interna, inarbetade rutiner och redovisas i respektive SSPP. Syftet med anpassningen är 374

att uppnå högsta möjliga effektivitet vid uppfyllande av ställda krav. 375

Systemsäkerhetsarbete skall bedrivas i enlighet med de programanpassade krav på 376

systemsäkerhetsarbete som ingår i kontraktet med respektive leverantör. 377

Leverantörens System Safety Manager (SSM) skall: 378

Upprätta leverantörens systemsäkerhetsplan, SSPP 379

Samordna säkerhetsrelaterade frågor med FMV SSWG, med leverantörens 380

projektledning, med personer ansvariga för speciella områden inom leverantörens 381

organisation samt med underleverantörer. 382

Vid behov medverka i framtagningen av specifikationer, metoder och riktlinjer för 383

riskidentifiering och riskanalys. 384

Genomföra säkerhetskravanalys (SRCA) och sammanställa 385

säkerhetsrekommendationer avseende konstruktion, drift, underhåll, förvaring, 386

kassation och säkerhetsrelaterad utbildning. 387

Upprätta och föra risklista 388

Genomföra riskanalyser 389

PLAN

Organisation

AK Led Titel


Sida 23 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Meddela FMV SSWG om risker som kan ha påverkan på delsystem utanför det 390

egna åtagande. FMV SSWG skall utvärdera risker och besluta om eventuella 391

åtgärder. Leverantören skall genomföra beslutade åtgärder. 392

Definiera, utföra och dokumentera varje säkerhetsrelaterat prov eller verifiering 393

Anordna säkerhetsmöten SSPR med FMV 394

Framställa säkerhetsdokumentation och säkerhetsrapporter med det innehållet 395

som kravställs av FMV. 396

7.2 Beskrivning av dokumentation 397

Genomfört säkerhetsarbete skall dokumenteras. 398

Dokumentationen av genomfört säkerhetsarbete för systemet innehåller: 399

Säkerhetskravanalys SRCA 400

Preliminär riskkällelista PHL 401

Preliminär riskkälleanalys PHA 402

Säkerhetsanalyser av system och delsystem SHA/SSHA 403

Säkerhetsanalys för användning, underhåll och miljö O&SHA/EHA 404

Rapporter om inträffade olyckor och incidenter 405

Användningsrestriktioner SRS, vid behov 406

Riskanalys för avveckling av system RADS 407

Kravverifiering SV 408

Säkerhetsrapport SAR 409

Säkerhetsutlåtande SCA 410

Omfattning av efterfrågad information regleras i respektive AI. 411

7.3 Hantering av risklista 412

Risklista är ett dokument där leverantören skall registrera alla identifierade risker samt 413

dokumentera planerade, beslutade respektive införda riskreducerande åtgärder. 414

Leverantörens hantering av risklista skall beskrivas i leverantörens SSPP. 415

Risklista skall innehålla följande uppgifter: 416

Riskkälla 417

Riskägare 418

Riskbeskrivning 419

Riskklass före åtgärd 420

PLAN

Organisation

AK Led Titel


Sida 24 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Föreslagen åtgärd med kommentarer 421

Uppgifter om åtgärdens genomförande 422

Riskklass efter åtgärd 423

Riskstatus 424

Förslag om stängning av risken från leverantören. 425

Identifierade risker som kan påverka andra delsystem, utanför åtagandet, rapporteras till 426

FMV på SSPR. 427

Stängning av risker beskrivs i kap. 11 Stängning av risker. 428

7.4 Genomförande av säkerhetsgenomgångar 429

Leverantören skall genomföra systemsäkerhetsgenomgångar (SSPR) med FMV. 430

SSPR skall genomföras enligt överenskommen och fastställd tidsplan. Leverantören 431

skall, inför SSPR, ta fram uppdaterad säkerhetsdokumentation som skall behandlas på 432

mötet. 433

Leverantören skall: 434

Skicka kallelser till möten, senast två veckor innan den planerade tidpunkten för 435

mötet. 436

Distribuera agenda för planerad säkerhetsgenomgång. 437

Justera protokoll från föregående möte. 438

Upprätta protokoll vid möten 439

Distribuera protokoll senast två veckor efter mötet 440

7.5 Handhavandebeskrivningar och manualer 441

Leverantören ansvarar för att redovisa till FMV SSWG resultat från utredningar som 442

motiverar utarbetande av nya eller ändringar i befintliga handhavandebeskrivningar och 443

instruktioner. 444

Användarmanualer och utbildning, Training Safety Regulations, (TSR), utarbetas av 445

FMV i samråd med leverantören och fastställs av HKV. 446

PLAN

Organisation

AK Led Titel


Sida 25 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


8. Risker 448

8.1 Beskrivning av risker 449

Risk definieras här som kombination av sannolikheten för att en olycka inträffar och 450

konsekvensen av den inträffade olyckan, se Figur 8. 451

Sannolikhet Konsekvens

Risk 452

Figur 8. Definition av risk 453

För att en olycka skall inträffa krävs att en vådahändelse inträffar och att någon eller 454

något skadas på ett inte tolerabelt sätt. Vådahändelse, Hazardous Event, är en oönskad 455

händelse som inträffar utan uppsåt och som kan resultera i olycka eller skada. 456

Typer av risker i systemet redovisas i Tabell 1. 457

Risker Omfattning

Personrisker Personal och tredje man – allmänheten

Egendomsrisker SLB – materiel

Tredje man - militära eller civila objekt

Miljörisker Yttre miljö

Tabell 1 Typer av risker i systemet 458

8.2 Uppskattning av risker 459

Uppskattning av risker omfattar uppskattning av olyckshändelsernas sannolikhet och 460

konsekvens. 461

Frekvens är ett mått på sannolikhet för olyckshändelsens inträffande. 462

Frekvenser klassificeras här i klasser A – E enligt Tabell 2. Systemet som betraktas är en 463

mekaniserad bataljon utrustad med SLB genomförande avsedda operationer. 464

Frekvenserna avser olyckshändelser orsakade av SLB. 465

466

PLAN

Organisation

AK Led Titel


Sida 26 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Frekvenser skall beaktas utgående från den fastställda drifttiden och driftsprofilen, se [2]. 467

Konsekvenser för människor, egendom och miljö beskrivs i Tabell 3, Tabell 4 och Tabell 468

5. Konsekvensskattning baseras på värsta möjliga skada under de mest ogynnsamma 469

förutsättningarna. 470

Klass Benäm-

ning

Beskrivning Årlig

inträffandefrekvens X

A Frekvent Händelsen inträffar ofta under SLB

systemets livstid

X >1 olyckshändelser

per år

B Trolig Händelsen inträffar flera gånger

under SLB systemets livstid

1>= X >10-1

olyckshändelser per år

C Tillfällig Händelsen inträffar någon gång

under SLB systemets livstid

10-1

>=X >10-2


D Försumbar Händelsen är osannolik men kan

möjligen inträffa under SLB

systemets livstid

10-2

>=X >10-3


E Osannolik Händelsen är osannolik, förväntas

inte inträffa under SLB systemets

livstid

10-3

>=X


Tabell 2 Klassificering av inträffandefrekvenser utgående från kvalitativ 471

uppskattning av årlig inträffandefrekvens (X). 472

Benämning Klass Beskrivning av personskada vid värsta tänkbara fall av olycka

Katastrofal I Dödsfall

Kritisk II Allvarlig personskada: förlust av lem, syn eller motsvarande,

allvarlig ohälsa som resulterar i sjukhusvistelse för minst tre

personer.

Marginell III Mindre allvarlig personskada, besök på vårdcentral för

omplåstring. Sjukskrivning i en eller flera arbetsdagar.

Personen kan återgå till tjänst efter kortare rehabilitering.

Försumbar IV Obetydlig personskada eller ohälsa, omplåstring på

skadeplatsen, personen kan återgå till tjänsten eller lösa andra

fysiskt enklare uppgifter utan att behöva sjukskrivas.

Tabell 3 Kvalitativ beskrivning av konsekvenserna för personskador 473

474

PLAN

Organisation

AK Led Titel


Sida 27 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


475

Benämning Klass Beskrivning av egendomsskada vid värsta tänkbara fall av

olycka

Katastrofal I Förlust överstigande 10 MSEK eller skada på tredje man

överstigande 1 MSEK

Kritisk II Förlust på mellan 1 MSEK och 10 MSEK eller skada på tredje

man på mellan 100 KSEK och 1 MSEK

Marginell III Förlust på mellan 100 KSEK och 1 MSEK eller skada på

tredje man på mellan 10 KSEK och 100 KSEK

Försumbar IV Förlust understigande 100 KSEK eller skada på tredje man

understigande 10 KSEK

Tabell 4 Kvalitativ beskrivning av konsekvenserna för egendomsskador. 476

477

Benämning Klass Beskrivning av miljöskada vid värsta tänkbara fall av olycka

Katastrofal I Allvarlig, bestående miljöskada förbunden med

lagöverträdelse. Skadan är inte möjlig att återställa.

Kritisk II Mindre allvarlig miljöskada förbunden med lagöverträdelse.

Skadan är möjlig att återställa.

Marginell III Lindrig miljöskada utan lagöverträdelse. Skadan är möjlig att

återställa.

Försumbar IV Obetydlig miljöskada utan lagöverträdelse.

Tabell 5 Kvalitativ beskrivning av konsekvenserna för miljöskador 478

8.3 Tolerabla risknivåer 479

Värdering av risker innebär jämförelse mellan uppskattade risker och tolerabla risknivåer. 480

Det övergripande systemsäkerhetskravet för SLB systemet är: 481

a) Att vara säker vid prov, drift, transport, förvaring, underhåll och kassation 482

avseende person, egendom och miljö. 483

b) Att under sin livstid inte förorsaka någon katastrofal eller kritisk skadehändelse. 484

Krav a) definierar omfattning av risker i systemet, se Tabell 1. 485

Krav b) definierar allvarlighetsgraden av dessa tänkbara olyckor, som inte kan tolereras. 486

SLB-systemet byggs upp av delsystem som utvecklas av olika leverantörer. Leverantörer 487

genomför och redovisar internt säkerhetsarbete enligt överenskomna regler. 488

PLAN

Organisation

AK Led Titel


Sida 28 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Värdering av risker på systemnivå genomförs separat för risker för personsäkerhet, 489

egendomsrisker och miljörisker, med hjälp av Tabell 6, Tabell 7 och Tabell 8. 490

Frekvenser

Konsekvenser

A

Frekvent

B

Trolig

C

Tillfällig

D

Försumbar

E

Osannolik

I Katastrofal ET ET ET ET BT

II Kritisk ET ET ET BT T

III Marginell ET BT BT T T

IV Försumbar BT T T T T

Tabell 6 Riskvärderingsmatris för personrisker på systemnivå 491

492

Frekvenser

Konsekvenser

A

Frekvent

B

Trolig

C

Tillfällig

D

Försumbar

E

Osannolik

I Katastrofal ET ET ET BT T

II Kritisk ET ET ET BT T

III Marginell ET BT BT T T


Tabell 7 Riskvärderingsmatris för egendomsrisker på systemnivå 493

494

Frekvenser

Konsekvenser

A

Frekvent

B

Trolig

C

Tillfällig

D

Försumbar

E

Osannolik

I Katastrofal ET ET ET BT T

II Kritisk ET ET BT T T

III Marginell BT BT T T T


Tabell 8 Riskvärderingsmatris för miljörisker på systemnivå. 495

Förklaring: 496

ET – ej tolerabel risk 497

BT – begränsad tolerabel risk, hantering bestäms från fall till fall 498

T – tolerabel risk 499

PLAN

Organisation

AK Led Titel


Sida 29 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Värdering av risker i maskinvara och programvara genomförs enligt olika principer och 500

redovisas separat. 501

8.4 Värdering av risker i maskinvara 502

Generellt kan både kvantitativa och kvalitativa metoder tillämpas för uppskattning av 503

såväl konsekvenser som sannolikheter för person-, egendoms- eller miljöskador. 504

Kvantitativ uppskattning baseras på dokumenterad erfarenhet av drift av liknande system 505

under liknande eller samma omständigheter. SLB-systemet innehåller flera nyutvecklade 506

delsystem där sådan information inte är tillgänglig varför kvalitativ analys skall tillämpas. 507

8.5 Värdering av risker i programvara 508

Risker i programvara kan inte uppskattas på samma sätt som risker i maskinvara 509

eftersom felintensitet inte går att ange för enbart programvarudelar. Fel i programvara är 510

av systematisk och inte, som för maskinvara, av slumpmässig natur. 511

Olika metoder för säkerhetsanalys, t ex felträdsanalys, FTA kan tillämpas för att 512

identifiera delar av programvaran som är säkerhetskritiska. 513

Kritikalitet är ett diskret mått på hur stor effekt en del av systemet eller ett fel i systemet 514

och avsedd omgivning kan ha på systemsäkerheten, [5]. 515

Kritikalitetsbestämning genomförs enligt följande principer: 516

Övervakande programvara klassificeras med samma kritikalitet som den del den 517

övervakar. 518

Komponent klassificeras med samma kritikalitet som den funktionskedja där den 519

ingår. 520

Programvara, data och kommandosekvens har samma kritikalitet som den del 521

informationen levereras till. 522

Värdering av programvarurisker skall genomföras för att bestämma omfattning av arbete 523

och nödvändiga resurser för uttestning och verifiering av programvara för att reducera 524

systemrisker till nivåer som är tolerabla. 525

PLAN

Organisation

AK Led Titel


Sida 30 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


9. Åtgärdande av risker 526

9.1 Principer för åtgärdande av risker 527

Risker som bedöms vara ej tolerabla skall åtgärdas. 528

Åtgärder för att reducera risker och på det sättet uppfylla ställda systemsäkerhetskrav 529

väljs företrädesvis i följande ordning: 530

a) Konstruera för att eliminera eller reducera risker, på övergripande systemnivå, till 531

tolerabel nivå 532

b) Infoga skyddsanordningar 533

c) Infoga varningsanordningar 534

d) Utveckla lämpliga säkerhetsföreskrifter och säkra rutiner för drift, underhåll, 535

förvaring och kassation 536

e) Utveckla en lämplig utbildning för drift, underhåll, förvaring och kassation 537

LedBaT skall föreslå eventuella förändringar i den aktuellt gällande SÄKI för att där 538

beskriva nödvändiga säkerhetsbarriärer. 539

Situationen där risker genereras av ena leverantören och har negativa konsekvenser på 540

systemet i helhet eller på andra leverantörens ansvarsområde gäller först och främst 541

förhållandet vid utveckling och implementering av programvara. 542

När leverantören upptäcker risker som inte kan åtgärdas inom åtagandet eller som kan 543

vara enklare och/eller billigare att åtgärda hos någon annan leverantör, skall detta 544

rapporteras till FMV på SSPR. FMV SSWG beslutar därefter vilken leverantör skall 545

åtgärda risken. Denna leverantör skall genomföra nödvändiga åtgärder. 546

9.2 Åtgärdande av risker i programvara 547

Hantering av programvarurisker realiseras genom diverse åtgärder i syfte att uppnå 548

egenskaper hos programvara och programhantering, som bidrar till systemsäkerheten. 549

FMV som har det övergripande ansvaret skall genomföra åtgärder på systemnivå. 550

Leverantören skall genomföra lämpliga åtgärder vid utveckling av programvara. 551

Dessa åtgärder innebär att: 552

arkitektur skall beakta säkerhetsaspekter, (FMV resp. leverantörens ansvar inom 553

respektive ansvarsområde), 554

tillämpade systemlösningar skall vara testbara, (FMV resp. leverantörens ansvar 555

inom respektive ansvarsområde), 556

kritiska programvarudelar skall isoleras fysiskt eller logiskt, (leverantörens 557

ansvar), 558

PLAN

Organisation

AK Led Titel


Sida 31 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


säkerhetsbarriärer samt skydds- och övervakningssystem skall införas, (FMV 559

resp. leverantörens ansvar inom respektive ansvarsområde), se Figur 9. 560

Åtgärder mot risker tillämpas enligt följande prioritering: 561

a) Eliminera hot från omgivningen eller annan del av systemet. 562

b) Övervaka och styra säkerhetskritisk programvarudel m h a signal- och 563

regelsystem 564

c) Hålla kvarvarande risker under den för systemet fastlagda toleransnivån. 565

d) Avvärja och lindra skador som kvarstående hot trots allt kan medföra. 566

Fel Olycka

Barriär

Barriär

Barriär

567

Figur 9. Användning av barriärer i säkerhetskritiska system 568

Barriärer kan omfatta programvaruskydd som utvecklas av leverantören av programvara, 569

hårdvaruskydd som utvecklas av leverantören av maskinvara samt styrnings- och 570

övervakningsfunktioner som regleras i bl. a SäkI och som FMV ansvarar för. 571

Åberopade barriärer skall utvärderas av konstruktören. Detta innebär att 572

programvaruskydd värderas av leverantören av programvara och övergripande barriärer 573

på systemnivå värderas av FMV. 574

PLAN

Organisation

AK Led Titel


Sida 32 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


10. Verifiering 575

10.1 Verifiering hos leverantören 576

Varje leverantör skall redovisa vilken standard för verifiering som tillämpas. 577

Varje leverantör skall redovisa metoder för verifiering. 578

Säkerhetsverifiering skall genomföras av leverantören enligt med FMV överenskomna 579

planer och med möjlighet för FMV/FM att delta vid genomförande av 580

verifieringsaktiviteter. 581

10.2 Verifiering hos FMV 582

FMV skall ha rätt men ej skyldighet att medverka vid all verifieringsverksamhet på olika 583

nivåer. Medverkan i och även genomförande av egna verifieringsaktiviteter kan avse t ex: 584

Speciella granskningar avseende systemsäkerhet och människa-maskin 585

anpassning. 586

Deltagande i och övervakning av miljöprovning. 587

PLAN

Organisation

AK Led Titel


Sida 33 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


11. Stängning av risker 588

11.1 Förutsättningar 589

Stängning av risker skall dokumenteras på risknummerblanketter. 590

Risknummerblankett är ett komplement till risklista. På dessa blanketter skall det finnas 591

en kort beskrivning av risken, vidtagen åtgärd, referens till säkerhetsanalyserna samt 592

undertecknat beslut om stängning av risken. 593

Befogenhet att stänga risker i SLB varierar något beroende på om det är FMV eller 594

leverantören som är ansvarig för risken, se Tabell 9. Risker som kan orsakas av 595

installationen av SLB i olika plattformar stängs på motsvarade sätt av respektive MS, se 596

också Figur 1. 597

Riskvärdering

Risk hos

T BT ET

Leverantören Stängs av

leverantören

Stängs av

C Teknisk Ledning/FMV

Kan stängas av FM

FMV Stängs av

Projektledaren

Stängs av

C Teknisk Ledning/FMV

Kan stängas av FM

Tabell 9 Befogenheter att stänga risker i LedBaT 598

11.2 Stängning av tolerabla risker 599

Risker hos leverantören som klassas som tolerabla stängs av leverantören i konsensus 600

med FMV. Varje leverantör skall utse namngiven beslutsfattare med uppgiften att stänga 601

tolerabla risker hos leverantören. Denna beslutsfattare skall genom samråd med och på 602

rekommendation av SSM redovisa till beställaren bakgrunden till att risker klassificeras 603

som tolerabel. Detta är samtidigt en bekräftelse, att leverantören anser sig genomfört allt 604

nödvändigt arbete för att uppfylla ställda krav. Förslag till klassificering skall presenteras 605

till FMV SSWG på SSPR för att få det accepterat. Efter acceptansen från FMV skall 606

leverantören ta fram risknummerblankett för att dokumentera beslut om stängning. Detta 607

beslut skall bekräftas med namn och underskrift av leverantörens projektledare och 608

överlämnas till FMV. 609

Risker hos FMV som klassas som tolerabla stängs av projektledaren genom att skriva 610

under på risknummerblanketten. FMV SSWG utarbetar ett förslag till stängning av risker 611

hos FMV som klassas som tolerabla. 612

11.3 Stängning av begränsad tolerabla risker 613

Risker hos leverantören som klassas som begränsat tolerabla stängs av C Teknisk 614

Ledning på FMV i konsensus med leverantören. Leverantören överlämnar till SSPR 615

dokumenterat förslag om stängning av risken, för bedömning. Projektledaren stänger 616

risken och C Teknisk Ledning stänger / fastställer stängning av risken. 617

PLAN

Organisation

AK Led Titel


Sida 34 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


Risker hos FMV som klassas som begränsad tolerabla stängs av C Teknisk Ledning på 618

FMV enligt samma rutin som gäller för tolerabla risker. 619

Risken kan stängas

Datum

Underskrift

Datum

Underskrift Datum

Underskrift Datum

Underskrift

Godkänner Godkänner

1) Lev. SSM 2) Lev. UL 3) Projektledare 4) C Teknisk Ledning

Figur 10. Dokumentering på risknummerblanketten 620

11.4 Stängning av ej tolerabla risker 621

Risker hos leverantören eller hos FMV som klassas som ej tolerabla och kan inte 622

reduceras ytterligare, kan stängas av FM på rekommendation av C Teknisk Ledning på 623

FMV. 624

PLAN

Organisation

AK Led Titel


Sida 35 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


12. Avvecklingsbetingelser 625

Avveckling av systemet skall förberedas genom att förekomst av allt farligt gods i första 626

hand minimeras vid konstruktion och dokumenteras. Det skall också anges var i systemet 627

dessa farliga ämnen placeras. 628

Personal som kommer att arbeta med underhåll skall vara informerad om förekomsten 629

och placeringen av farligt gods. 630

Leverantören för respektive delsystem ansvarar för att all relevant information skall vara 631

tillgänglig och arkiverad. Arkiveringstiden regleras i respektive kontrakt. När 632

leverantörers ansvarsperiod avslutas skall all information om farligt gods överlämnas till 633

FMV för vidare arkivering, ända till avvecklingsfasen. 634

FMV ansvarar för framtagning och arkivering av motsvarande uppgifter angående 635

tillhandahållen materiel. 636

PLAN

Organisation

AK Led Titel


Sida 36 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


13. Säkerhetsutlåtande 637

Leverantören skall utarbeta säkerhetsutlåtande (SCA) med entydigt uttalande från 638

leverantören som anger att systemet är säkert under givna förutsättningar. 639

SCA skall utarbetas i enlighet med regler angivna i [1]. 640

Leverantören skall utarbeta underlag till säkerhetsutlåtande för varje leverans (SAR) och 641

överlämna det till FMV för granskning och godkännande senast fyra arbetsveckor före 642

leveransen. 643

Säkerhetsutlåtande skall undertecknas av leverantörens firmatecknare och skall 644

överlämnas vid leveransen. 645

PLAN

Organisation

AK Led Titel


Sida 37 (37)

Uppgjord av


Version och datum


VO Led 33000:55029/04 LedBaT 032/02


14. Säkerhetsgodkännande 646

Säkerhetsgodkännande tas fram av FSC och FMV och utgör FSC och FMV intygande om 647

att risker i systemet är analyserade på ett tillfredställande sätt och att var och en av 648

identifierade risker har nedbringats till den av HKV fastställda tolerabla risknivå. 649

Säkerhetsgodkännande skall utformas enligt regler angivna i [1]. 650

Säkerhetsgodkännande fastställs av C Teknisk Ledning på FMV och överlämnas till 651

HKV som underlag för Beslut om Användning (BOA) av systemet. 652

BOA fattas av HKV. 653

Documents

1 Systemsäkerhetsplan LedBaT¤k/SSPP_EXEMPEL-STOR.pdf · MekBat 90. 122 123 124 . Figur 2. Centrala ledningsstödsfunktioner i SLB . 125 126 . För att ovan nämnda ledningsstödsfunktioner,