SJZ 21483-2018 指挥信息系统安全性设计指南[电子].pdf

资源描述

1、S I_ 疆中华人民共和国电子行业标准FL 0107SJ/Z 21483-2018指挥信息系统安全性设计指南Guide of safety design for command information system2018- 12-29 发布2019-03-01 实施国家国防科技工业局发布SJ/Z 21483-2018. L-刖s123455.15.25.35.4目次.II .1 .1 .1.22 2.5 .6 .7 .711 1314 1517 1819 20(初系职）范围.规范性引用文件术语与定义缩略语.一般要求指挥信息系统组成安全性设计要求. 安全性设计过程/ 安全性设计懒6详

2、细要求/6.1 安全性分6.2 安全性i6.3 安全性附录A 附录B 附录C 附录D 附录E 附录F附录G起方:勰遍逆向:誓逐出i:险分析表样例.康危险分析表样例ISJ/Z 21483-2018-XX. 1刖百本指导性技术文件的附录A附录G为资料性附录。本指导性技术文件由中国电子科技集团有限公司提出。本指导性技术文件由工业和信息化部电子第四研究院归口。本指导性技术文件起草单位：中国电子科技集团公司第二十八研究所，工业和信息化部电子第四研究院。本指导性技术文件主要起草人：巩超、周晓明、孔庆炜、武志功、赵庆利、李彦、王洋洋。IISJ/Z 21483-2018指挥信息系统安全性设计指南1范围本指

3、导性技术文件规定了指挥信息系统安全性设计过程、设计准则等一般要求以及安全性分析、设计、验证等详细要求。本指导性技术文件适用于指挥信息系统安全性设计。下列文件中的条用文件，其随后所励根据本指导，件，其最新版本iGJB 9 00JT-2GJB/ZGJB/Z3术语与2规范性引用文件军于本指二件。GJB/指备mand information system无心I由侦察预警、指挥控制、作战保障、网络通窗、GJB 903. 1指挥信息以计算机R 对战场信息进行富时3 军事信息系统。3. 2术文件的引用而成为，、包含勘误的内容）或修订版均不达成协议的各方研究是否可使用这些盗侏的最召牛的条款。凡是注日

4、期的引性技术文件，然而，鼓。凡是不注日期的引用文章等分系统组成，可俞、处理，用于保障指挥机构对所属部网和武器据实施高效指挥控制的事故 mishap造成人员伤亡、职业病、匚 GJB 9 00A-2012的3.13. 3危险hazard可能导致事故的状态。GJB 9 00A-2012的3.2 3.4危险分析 hazard analysis常用的系统安全分析方法，用于识别产品在每一使用模式中执行其功能的潜在危险，预计这些危险对人员及（或）设备可能造成的损害，并确定消除危险的方法。GJB/Z 9 9 -19 9 7 的 3.1.101SJ/Z 21483-20183. 5安全性safety产品具

5、有的不导致人员伤亡、装备损坏、财产损失或不危及人员健康和环境的能力。GJB 9 00A-2012的3.33.6安全性关键项目safety critical item对装备安全性有重大影响的项目，通常包括功能、硬件、软件、操作规程和信息等。GJB 9 00A-2012的3.83. 7灾难性事故率 catastrophic mishap rate造成人员死亡、装备完全损坏或报废、严重的不可逆的环境破坏的事故概率。4缩略语下列缩略语适用于本指导性技术文件。EFA-Environment Factor Analysis,环境因素分析；FMECA-Failure Mode Effects and Haz

6、ard Analysis,故障模式影响及危害性分析；FTA-Fault Tree Analysis,故障树分析；O&SHA-Operating and Support Hazard Analysis,使用和保障危险分析；OHHA-Occupation Healthiness Hazard Analysis,职业健康危险分析；PHA-Preliminary Hazard Analysis,初步危险分析；RAC-Risk Appraise Coefficient,风险评价指数；SFHA-Soft Failure Hazard Analysis,软件故障危险分析；S HA-System Hazard

7、 Analysis,系统危险分析；SSA-Soft Sneak Hazard Analysis,软件潜在危险分析。5 一般要求5.1 指挥信息系统组成指挥信息系统一般由侦察预警、指挥控制、作战保障、信息平台、网络通信等分系统组成，各分系统由子系统或设备组成。其中，指挥控制分系统和侦察预警分系统是整个指挥信息系统的核心业务，其他分系统为其提供支撑和技术保障。根据军事需求和系统规模，指挥信息系统的组成可能不同。通常的指挥信息系统组成如图1所示。2SJ/Z 21483-2018指挥信息系统侦察预警分系统指挥控制分系统作战保障分系统信息平台分系统网络通信分系统音视频分系统综合保障分系统为中固定又

8、可以分为地面固定危险控制、性定性要求应从IE条款?靠性要求;应对路由器1)2)漏电设计，确保使用要扫应对电源、散热风扇、网卡、服务器硬盘等可能导致安全性事故的硬件部件实施保障性设能够保b）硬件设备安全4应设计、会导键设备/环境灾难性:性事故2设计，习操作安:性要求故障隔能导指挥信息系统从形和地下固定；机动 5. 2安全性设计演 5. 2. 1定性要,应根据指定、机动以及可可以分为地面、海上、空中性，综合考.剧壬务需求、使说面赢 1息段旨挥信息系统安及限制条舞平出安全性定性要疝制、危险源隔离控f舌：a)邛I6)7)8)防误操褪瘟十，保证人求，确保人旅人仃全过程消除或控制系统试验中可能发生的各

9、种危险,匕避难场所或安全出口，并与危险源隔离效的防火措施，失火时,具有迅;康；;付龄过程中人员安全;按灰紊统设施内环境的能力, 步点的通信网络设备进行防过热、防计，设计冗余备件，当某个部件出现故障时，不应影响系统保持持续运行;3）机动式指挥信息系统，应对油机、电源等危险部件设有安全防护措施；4）应对电源、天线等专用电子设备采取防雷措施；5）设备机壳必须可靠接地，防止漏电伤人；6）插座、接头必须有明显的警示标志；7）席位、机柜等设备外壳不应有尖锐棱角。c）软件安全性要求：1）应确定软件配置项的安全性等级，明确安全关键软件，并开展高可靠性设计，具有良好的可测试性、维护性、保障性；3SJ/Z 21

10、483-20182）应对继承或重用软件进行危险分析；3）尽可能将安全关键部件与非安全关键部件隔离；4）尽可能限制安全关键部件与其他部件的交互；5）应将安全关键数据与其他数据隔离，并使非安全关键部件不能访问安全关键数据；6）应增强软件失效处理和容错处理设计，所有软件应具备排错、排误功能，允许系统错误输入，局部软件错误不影响整个系统的运行；7）应按规定授权原则确定不同用户的访问权限，用户需经身份检查合格后才能进入系统；8）应在进行重要的操作前，检查用户的身份，防止用户越权操作；9）为防止合法用户因误操作而造成数据丢失，在执行修改或删除时应有醒目的提示，经过操作者确认后，才能执行；10）软件设计

11、时，应尽量减少在软件的使用和保障中人为差错所导致的风险；11）应采取措施自动记录检测出的所有系统故障及系统运行情况；12）应提供数据定期备份、虚拟机热迁移及高可用，规避服务中断风险；13）应增强云计算虚拟化平台的安全防护手段，保证集中化存储的数据资产的隔离性、完整性和可用性；14）应加固主体安全防护能力，填补系统漏洞，及时升级安全补丁，加固操作系统和数据库;15）应对关键数据提供数据备份恢复机制。5.2.2 定量要求指挥信息系统定量指标常用灾难性事故率，灾难性事故指导致人员伤亡、系统毁坏、重大财产损失的事故，包括系统瘫痪造成功能性能基本失效，漏电起火造成人员伤亡、重大财产损失等事故。事故率

12、指在规定的条件下和规定的时间内，事故总次数与寿命单位总数之比，用公式（1）表示：Pa=1-PNa/Nt. （1）式中：PA 事故率或事故概率，次/单位时间或百分比（）；Ps安全概率，不发生事故概率；帖故总次数，包括由于装备或设备故障、人为因素及环境因素等造成的事故的总次数；Nt寿命单位总数，表示装备总使用持续期的度量，如工作小时、任务次数。示例：在指挥信息系统装备执行作战指挥任务时，由于装备原因导致的灾难性事故概率不超过10-4/ （工作小时）或10-3/（任务次数）。5.2.3 指标要求分解5. 2. 3. 1定性要求分解安全性定性要求的分解实际是将顶层或上一层次的安全性定性要求逐级传递

13、到下一层次产品的的过程，应遵循一定的逻辑关系，明确产品所属各层级产品的安全性要求。指挥信息系统通常应结合系统组成要素的固有特性，将安全性要求逐层分解到相关的分系统及其软件和硬件。示例：系统安全性定性要求：人员误操作安全后果控制方面，应设置警示标识，应对不同角色的用户设置不同的权限等。软件安全性定性要求：a）按规定授权原则确定不同用户的访问权限，用户需经身份检查合格后才能进入系统；b）进行重要的操作前，应检查用户的身份，防止用户越权操作；c）为防止合法用户因误操作而造成数据丢失，在执行修改或删除时应有醒目的提示，经过操作者确认后，才能执行。设备安全性定性要求：a）设备机壳必须可靠接地，防

14、止漏电伤人；4SJ/Z 21483-2018b）插座、接头必须有明显的警示标志。5. 2. 3. 2定量指标分解安全性定量指标分解的基本原理主要是基于以下的可靠性与安全性关系公式:P声Rs+(1-R?Rfe.(2)式中:Ps -安全概率；Rs 产品中与安全性相关部分的任务可靠度；Rfe故障检测处理、逃逸救生系统的任务可靠性。安全性定量要求分解目的在于确定安全性相关的分系统、软件、硬件等系统组成部分的安全性概率, 应与可靠性分配工作同步考虑，在系统可靠性分配过程中，确定安全性相关部分的任务可靠度（即反）及其安全防护措施的任务可靠度（即&基于安全性定量指标分解原理，计算分系统、软件、硬件安全性概率

15、5.3安全性设计过程5. 3. 1设计流程安全性设计出信息关系流程询&薪N危险源识别计措施，各环节输入输系统研:需求确环等危险的风险评初步危险系统危险曜而险职业健康危险危险等级风险指数危险影麻该计措施图2指挥信息系统安全性设计流程指挥信息系统安全设计过程中应注意以下几方面要求：a）安全性分析、设计、验证等工作，包括安全性设计需求确定、危险源识别、风险评价、设计措施、设计验证等步骤应与研制工作同步，不断迭代深入；5SJ/Z 21483-2018b）安全性分析与设计应按照GJB9 00A-2012规定的初步危险分析、系统危险分析、使用和保障危险分析、职业健康危险分析方法，充分考虑系统功

16、能、接口、使用、维护、健康等方面危险及设计措施；c）在指挥信息系统方案阶段，安全性设计应开展初步危险分析及设计，可以编制初步危险表、安全关键功能清单，提出安全性设计准则，并纳入总体技术方案、六性设计方案等文件中；d）在指挥信息系统设计阶段，安全性设计应在初步危险分析基础上，开展系统危险分析以及使用与保障、职业健康等专项危险分析，继续完善危险源清单、安全关键功能清单、安全性设计准贝明确系统、分系统、设备、软件等部分要求，随系统设计的进行不断深入迭代，并纳入系统设计说明、软件设计说明、设备设计报告、六性设计说明等文件中。5. 3. 2安全性设计需求确定确定安全性设计需求，是开展指挥信息系

17、统安全性设计与分析的基础，在系统研制各阶段，应综合考虑当前可获得的系统有关的信息、资料，作为开展相应层次危险分析的输入文件。一般的指挥信息系统安全性设计主要将系统立项论证报告、总体技术方案、任务书、装备发展部下发的装备研制立项综合论证通用质量特性要求作为输入文件。依据输入文件，应当分析系统特点及作战任务需求，从人员、机器、物料、方法、环境等方面，确定与安全性有关的系统设计需求。5. 3. 3危险源识别识别危险源，是指挥信息系统安全性设计与分析的重要环节，在系统研制各阶段，应根据所确定的系统设计需求，识别系统物理、网络、数据、软件、接口等方面的危险源。指挥信息系统中可能导致安全事故发

18、生的常见故障参见附录A。指挥信息系统研制各阶段，应根据危险源识别的结果，不断补充完善系统危险源清单、安全关键项目清单。危险识别过程中可以通过制定危险分析表的形式，对危险源进行管理跟踪。初步危险表、初步危险分析表样例参见附录B、附录C,系统危险分析表样例参见附录D,使用和保障危险分析表样例参见附录E,职业健康危险分析表样例参见附录F。5. 3. 4危险的风险评价风险评价过程应通过采用适当的风险评估手段，逐条分析所识别的危险源，确定其发生可能性和后果严重性，明确可容许风险和需要解决的风险，提出消除、减少风险的措施建议。风险评价指数（RAC）法是常用的风险评价方法，通过划分危险的可能性和严重

19、性等级，估算风险指数，形成风险评价矩阵，并通过制定风险接受准则，实现对风险综合评价，为后续的风险处理提供支撑。 5. 3.5设计措施针对系统危险源及风险评价结果，提出并落实安全性设计措施建议，是指挥信息系统安全性设计的关键。应针对每一项危险源按照风险等级由高到低，建立指挥信息系统详细的设计准则和措施，从固有安全性设计、采用防护装置、采用警示措施、制定专用规程等四个层次落实到系统安全性设计中。5. 3. 6设计验证进行安全性设计验证，对设计过程进行确认，包括对安全性准则的落实情况进行检查，对安全措施的科学性、可行性进行评价，对安全性要求的分解情况进行评估，确保安全性设计按要求开展。5.4

20、安全性设计准则指挥信息系统的安全性设计准则如下：a）消除措施原则：通过更改设计方案、使用安全材料替代危险材料等方式，消除产品中原有的危险（源）所采取的措施。b）控制措施原则：在不能消除危险（源）的情况下，通过提高安全系数、采用冗余、增加安全装置或防护措施（如安全阀）等方式，降低危险发生的可能性或减弱其危害的措施。6SJ/Z 21483-2018c）减少危险品准则：应减少或取消系统对危险品的使用，或将危险品相关事故风险降低到可接受范围。d）危险品隔离准则：应将危险设备和操作与其他人员、活动、区域和不相容的器材相隔离。e）设备安置准则：设备安置应使人员在使用、维修设备过程中，避免高压电、电磁

21、辐射和冲击物等危险。f）安全保护准则：应采用机械隔离或屏蔽的方法，保护冗余分系统的能量源、控制装置和关键零部件。g）报废处理准则：应在系统设计阶段考虑保证系统报废处置的安全。h）告警信号准则：警告信号的设计应保证尽量减少人员对该类信号的漏判和误判，警告信号设计应具有一定的通用性。i）告警标志准则：当不能通过步消除危险时置、使用、维护和维修说明书中给出警告和注意事项，并在吵护。人员技能准的人员具疆域感出相关的人员目的标记，以使人员、设备得到保确保参与安全关键任务k）风险最少会西花需正在各种限制条件下，发生人员伤环境破坏的风险最小6. 1. 1. 16. 1. 1.1.1应依据以下几类口

22、1：a)b)系统卡沏%求；所确望（如设备清单、功能框图和使用方案等）产品历卜经尊改信息；6. 1. 1. 1.2确定范围a）系统运行模式、功能大N 口吐b）系统硬件特性； - -c）系统软件部署环境；d）系统的电、机械、热、电磁等能量状态。6. 1. 1.2系统危险分析6. 1. 1.2. 1确定依据系统危险分析过程中，确定系统安全性设计需求应依据以下几类文件:a）初步危险分析表，顶层事件/安全关键功能；b）分系统详细设计方案，分系统危险分析结果；c）系统接口、系统要求。6. 1. 1.2.2确定范围依据上述文件，确定以下几方面的系统安全性设计需求：7SJ/Z 21483-2018a）分系

23、统间物理结构关系；b）分系统间电连接关系；c）分系统间的功能、软件、数据关系；d）分系统间的电、机械、热、电磁或其他形式的能量关系；e）系统安全关键功能。6.1. 1.3使用和保障危险分析6.1.1.3.1 确定依据使用和保障危险分析过程中，确定系统安全性设计需求应依据以下几类文件：a）系统设计方案；b）初步危险分析表，系统危险分析表；c）系统使用信息；d）系统使用和操作规程，功能流程图、操作顺序图等；e）人机系统综合因素。6. 1. 1.3.2确定范围依据上述文件，确定以下几方面的系统安全性设计需求：a）生产、检验、装配、试验、贮存、运输、测试、检查、使用、维修等过程中的各项活动；b）工作过

24、程使用的设备、物品、材料；c）工作过程所经历的自然环境和工程环境；d）工作过程中特殊要求和程序；e）操作人员的资质要求。6.1.1.4职业健康危险分析6. 1. 1.4. 1确定依据职业健康危险分析过程中，确定系统安全性设计需求应依据以下几类文件：a）系统设计方案；b）初步危险分析表，系统危险分析表，使用和保障危险分析表；c）系统使用信息。6. 1. 1.4.2确定范围依据上述文件，确定以下几方面的系统安全性设计需求：a）有害物质；b）物理因素；c）有害物质或物理因素的使用及释放，以及有害物质的装卸、输送与运输要求；d）使用及维修操作规程。6. 1.2危险源识别6. 1.2.1初步危险分析初步

25、危险分析过程中，应识别出可能存在的系统危险以及潜在系统事故。在论证阶段，拟制初步危险表，针对识别出的每一项危险（源），详细说明其所引发的危险事件及后果；在方案阶段，在初步危险表的基础上深入迭代，识别新的危险。初步危险应考虑以下因素：a）系统功能故障1）核心功能故障（如无法执行侦察指挥功能、无法执行测绘导航功能）；2）重要件故障（如车载网络交换机故障、服务器瘫痪）；3）关键软件（如侦察指挥分析计算软件、数据库管理软件、情报分发软件）；4）不期望的事故（如意外启动、系统瘫痪、载车无法启动、车内温度不达标、火灾或爆炸的发生与蔓延、影响安全的故障等）。8SJ/Z 21483-2018b)c)系统

26、硬件危险1）危险部件（如综合电源、天线）；2）危险材料（如电源线缆、车载设备加固材料）。系统软件控制危险1)2)3)4)危险的操作（如错误执行作战指挥功能、错误执行通信指挥功能）；分系统接口（如信号、电压、时序、人机交互和硬件等）；系统、分系统或计算机系统的误操作；软件错误（如程序错误、程序遗漏、逻辑错误等）。d)e)系统能量危险1）危险要素（如燃油、电、电磁、电池）；2）系统兼容性（如材料兼3）环境限制（如跌落其他方面危险1电流、电离辐射等）；着火、静电、闪电、电磁辐射等）。a)b)c)安全设防护2)3)4)5)6. 1.2. 2系统危险品、能源模式对其分应主要1)常油，引起起

27、火）;、报,进一运行不毁据库等。统功能异常、危究的运行和故障缆短路;监故障。或分系Z的告统保障分析呈中危等）；条.1）2）分系统接口1）修和应急规程等;彝作和维修相关验教训（如电源线漏电、短路，造如试验、制造需螂、维修、运4&统保护、灭火系统、个人寸系统的jgl、环境因素和共因因素导致的危险件率软件控制、软件对系统d)2）用于多个分5独立的、相关的和情1）信息显示、输出功能古2）环境控制功能异常造成设备无法启动；3）油机漏油、线路短路同时发生造成着火危险。软件事件、故障和偶然事件对系统安全性的影响分析结果基石掇!1)2)3)4)软件设计错误、设计不兼容；接口错误的输入/输出、意想不到的复杂

28、性；功能无法执行、错误执行；控制安全性关键的软件命令和响应风险，包括指挥失灵，不按顺序、错误的软件操作事件, 不正确、无意的命令执行。e)安全关键功能不期望事件1）无线电链路发生错误，意外发出作战指挥命令;9SJ/Z 21483-20182）系统硬件承载平台故障，导致系统功能无法完成。6.1.2.3使用和保障危险分析使用和保障危险分析过程中，应识别系统在试验、安装、改装、维修、保障、运输、地面保养、贮存、使用、应急脱离、训练、退役和处理等过程中与环境、人员、规程和设备有关的危险。包括：a）操作人员控制下，存在潜在危险的系统状态1）指挥所电源、空调、温度、湿度等监控设备的开关机操作；2）硬件服

29、务器开机、关机操作；3）数据库管理数据更新、删除操作；4）交换机等通信网络设备的操作；5）通信录、名录服务的维护管理操作。b）由系统设计问题对操作人员导致的危险1）指挥所电源、空调、服务器、网络设备等超负荷运行；2）指挥所电缆、空调、UPS、服务器等硬件老化和耗损；3）机房、载车、通信网络设备高温条件下的散热能力；4）机动式承载平台的重心稳定性、防震动、防雨；5）软件危险操作的防差错。c）由潜在人为差错对操作人员导致的危险1）人员错误开、关机器；2）软件输入参数错误；3）人员错误删除基础数据；4）人员软件升级错误操作。d）流程和操作指南中的错误1）异常处理缺少描述；2）流程操作没有依据版本升级

30、修改。e）包装、装卸、贮存、运输、维修及处置过程对危险材料的要求1）选择易燃包装材料；2）可搬移设备装卸、部署时的机械伤害；3）电源、UPS、油机等受存储环境损坏。6. 1.2.4职业健康危险分析职业健康危险分析过程中，应识别化学危险、物理危险、人机工效危险、防护装置失效危险等。a）化学危险I）机动式系统油机燃油易燃易爆；2）供电系统漏断电着火爆炸危险。b）物理危险1）指挥所机房服务器、发电机噪声危险；2）机动式载车振动危险；3）计算机、服务器、发电机、电台、天线等电磁辐射危险；4）显示器、显示屏等辐射。c）人机工效危险1）值班席位等高强度工作环境，人员超负荷工作危险；2）机动式系统机动工作环

31、境，人员受震动、冲击造成损伤危险。d）防装置失效危险1）空调、通风装置故障，导致过热、高寒造成人员损伤危险；10SJ/Z 21483-20182）噪声隔离、辐射屏蔽装置失效，导致噪声、辐射危险。6. 1.3危险的风险评价6. 1. 3. 1风险评价方法对已辨识出的危险进行分析，找出危险致因，确定其影响，并用危险发生的概率、危险发生所造成的后果来综合评定其风险的大小，指挥信息系统危险的风险评价方法通常采用风险指数评价法。风险指数评价法介绍如下：a）风险指数评价法选择有经验的专家和与所分析的危险有密切关系的人员，对危险进行调查、分析、评估，利用以往的经验教训和曾经发生的危险事件进行类推、比较

32、，对危险进行评价，以评定危险的风险大小。b）风险指数评价法的具体实施步骤风险指数评价法的具体实施步骤为：评估危险可能性、评估危险严重性、计算危险的风险指数。6. 1.3.2危险可能性危险可能性等级给出了发生危险的可能程度的定性度量，其规定见表1。表1危险可能性等级等级序号个体总体权重系数A （经常）频繁发生连续发生5B （很可能）在寿命周期内会出现若干次经常发生4C （偶然）在寿命周期内可能有时出现发生若干次3D （很少）在寿命周期内不易发生，但有可能不易发生但有理由预期可能发生2E （极少）很不容易发生以至于可以认为不会发生理论存在，实际不会发生16. 1. 3. 3危险严重性危险严重性等

33、级给出了危险严重程度定性的度量，其规定见表2。表2危险严重性等级等级序号事故说明权重系数I （灾难的）人员死亡、设备报废或严重的不可逆环境破坏5II （严重的）人员严重受伤、严重职业病、设备严重损坏或较严重但可逆的环境破坏4in （一般的）人员一般受伤、一般职业病、设备一般损坏或环境一般破坏3IV （轻度的）人员轻度受伤、轻度职业病、设备轻度损伤或环境轻度破坏2V （轻微的）轻微的设备损伤16. 1.3.4风险指数将危险事件的可能性、严重性的权重系数相乘，得到该危险事件的风险指数。6. 2安全性设计6.2.1系统安全设计措施指挥信息系统系统级安全性设计措施包括：a）固有安全性设计11SJ/Z

34、21483-20181）从系统顶层设计着手进行系统安全性设计，涵盖系统寿命周期的各个阶段；涉及系统总体结构、系统交互、人机交互、应用软件、系统硬件及软件平台、武器装备、运行环境、电气、机械等各个方面；2）应针对系统和分系统的部署环境、系统集成、分系统间兼容性、软件间互联互通接口、软硬件间控制接口等相关危险制定安全性设计措施；3）对软件、设备和技术保障条件提出明确的安全性设计要求；4）对关键指令和关键设备的控制，要有监督措施和人为差错防护措施；5）对关键功能、数据、参数的访问、修改采取访问控制、防数据篡改等措施。b）采用防护装置1）应从系统、设施和人员防护装置，减小风险的可能替代材料，必要

35、的隔离控制措施，防护c)6. 2. 22)3)服和防护设备，监测、检测对系统的运行环境、系统应有人员,提出职业健康安全性设计措施;设计措施包括:参数、友障及两套独立的软件分别运行,态；警指示：当两个或两个,对可能设计,为防冗余热为确保核心其结果进行比较7解决网络短时间故障中究故隅采用警示措施:/ 软件安全设i指挥信息系统a)b)施和应急预案;固有安1）2)3)4)5)6)7)8)采用防:1)2)3)数的访问、修设置权限，避免操来监视系统,e措施，自动记录检测出的所有求很高的展统获取、修改和发块发生故障N跟随悬修官必须至少受控于两个独立的工考虑失教容限呈序设冗累等措施;2A-2012规定的软

36、件安全性设计措施。中的某些重要设备一旦出现故障会严重影物能和安全,最常用的为双源函止系统进簇彝行情况，C）采用警示措施：对于重要参数的删除增加确认密码要求，避免人员的误操作。6.2.3设备安全设计措施指挥信息系统设备级安全性设计措施包括:a）固有安全性设计1）采用热设计、电磁兼容设计、安全接地设计、安全电源设计、避雷设计、防爆及防火设计;2）对于固定式、机动式信息系统，采取安装、运行安全性设计；3）采取防机械危险安全性设计措施；4）对于连接部件，加强稳定性设计确保安全性；5）采用防错设计防止由于操作错误导致的各种危险；6）所有材料都应满足有关温度的要求；12SJ/Z 21483-20187）应

37、使可能造成灾难性事故的零部件数减少到最低限度；8）元器件和零部件对诸如温度、压力、电压、电流和功率等参数进行适当降额使用；9）材料和涂料的采用应考虑抗腐蚀性。b）采用防护装置1）采取有效措施防止超行程卡死或损坏；2）在可能的情况下应防止二次故障；3）采取密封等措施以防止外来物、潮气或其他流体的进入；4）应有适当的散热措施以使设备内部的热平衡，并防止设备之间的过热影响。c）采用警示措施：设备的安装应使其名牌处于可见的位置。指挥信息系统设备安全性设计措施，可以从电气和电子设计、机械设计、热设计、耐压力设计、减振设计、抗加速度和冲击设计、防噪声设计、防辐射设计、防火及防爆设计、防静电设计等方面提出

38、。常见设计措施参见附录G。6.3安全性设计验证指挥信息系统安全性设计验证可通过以下方式：a）采取设计准则符合性检查，验证安全要求是否贯彻；b）采取测试、检验、仿真、演示等方法，验证设计措施的有效性；c）采取风险评价对量化设计进行验证；d）采取设计评审对关键问题进行检查。13SJ/Z 21483-2018附录A（资料性附录）指挥信息系统常见危险故障指挥信息系统中可能导致安全事故发生的常见故障有:a) b) c) d) e) f) g) h) i)机动式系统底盘油箱密封圈漏油；机汕滤未紧固到位，导致机油漏油，引起机油低压告警; 导致线缆掉入地板凹槽内磨损断裂，引起电控开关故障;未考虑防振动设计

39、，造成发电机接线柱无绝缘保护套、1j)k)接触不良、拉弧烧焦，机组停机；U金属物引起局部短路，造成起火;:能正常定位、通信；软中中内错问题;传输机制，容易丢包，导致称i线缆电磁屏蔽措施数据库数据未通信管理软偌S 未考虑硬孵古出现服显控锄牛多的，影响，当系统负载过高时，服务请求仪能正常接收；司”设置较短，有时用了主线程及时、画面卡丕当导致内存死锁，I 一旦某个射廛出现资源消耗过胖卡死无14SJ/Z 21483-2018附录B(资料性附录) 初步危险表样例某指挥信息系统初步危险表初步危险表(PHL)序号危险点危险影响备注固定式指挥所PHL-1机房着火人员伤亡、设备损伤、系统瘫痪PHL

40、-2电源漏电人员伤亡、系统瘫痪PHL-3电源断电系统瘫痪PHL-4通信网络断网通信系统瘫痪PHL-5服务器失效系统瘫痪PHL-6.机动式系统PHL - 7机动平台翻车人员伤亡、设备损伤PHL-8油机着火人员伤亡、设备损伤、系统瘫痪PHL-9电源断电系统瘫痪PHL-10服务器失效系统瘫痪PHL-11.可搬移系统PHL-12运输过程翻车人员伤亡、设备损伤PHL-13油机着火人员伤亡、设备损伤、系统瘫痪PHL-14拆装部署机械伤害人员伤亡PHL-15.XXXPHL-16PHL-17PHL-18PHL-19PHL-2015SJ/Z 21483-2018附录C(资料性附录) 初步危险分析表样例初步危

41、险分析表初步危险分析(PHA)分析人: 日期：建议措施最终风险指数(FMRI)备注MRI)机房温度度监控忸耐高系统:子系统:危险序号危险原因影响PHA-1机房着火制空卬Q模式防火PHA-3初始风险指PHA-4PHA-216SJ/Z 21483-2018附录D（资料性附录）系统危险分析表样例系统危险分析表系统：系统危险分析（SHA）分析人：日期：序号顶层事故/安全关键功能（TLM/SCF）危险原因影响初始风险指数（IMRI）建议措施最终风险指数（FMRI）备注SHA-1综合保障分系统机房着火信息平台分系统超符合运行大部分综合保障设备受损，系统无法维持运行、瘫痪20防火

42、措施9SHA-2网络通信分系统断网综合保障分系统电源断电网络通信设备无法工作，造成系统间无法互通16电源备份6SHA-3网络通信分系统断网信息平台分系统设备故障网络通信设备无法工作，造成系统间无法互通16设备冗余6SHA-4信息平台分系统系统瘫痪综合保障分系统电源断电信息平台设备无法运行，系统瘫痪16电源备份6填写SHA分析表时应遵循如下基本准则：a） SHA识别的是由子系统接口因素、环境因素和共因因素导致的危险；b）为识别系统接口危险，从考虑涉及接口的问题和/或顶层事故（TLM）和安全关键功能（SCF）开始系统危险分析（SHA）；c）针对每个SCF确定其危险的不期望事

43、件；d）每个SCF均对应于一个SCF线索，该线索包含了使SCF能够安全运行的必要环节；e）评价和分析SCF线索中的每个环节，确定导致不期望事件发生的系统接口危险致因因素;f）进行必要的支持性分析（如FTA、CCFA等）。17SJ/Z 21483-2018附录E(资料性附录) 使用和保障危险分析表样例使用和保障危险分析表OHA-3OHA-4系统:维修0HA-1OHA-2软件输入数据损坏使用和保障危险分析(0&SHA)作业序号危险原因初始风险指建议措施分析人:日期:备注最终风险指数(FMRI)注释和建18SJ/Z 21483-2018附录F(资料性附录) 职业健康危险分析表样例职业健康危险分析表

44、系统：职业健康危险分析(OHHA)分析人：日期：健康危险类型序号危险原因影响初始风险指数(IMRI)建议措施最终风险指数 (FMRI)注释和建议备注物理危险HHA-1噪声发电机老化噪声超标准，造成工作人员受伤12发电机机房噪音隔离措施2HHA-2HHA-3HHA-419SJ/Z 21483-2018附录G（资料性附录）指挥信息系统设备设计措施G. 1电气和电子设计电气和电子设计要求：a）整车供电系统具备漏电、过压、过流、接地不良告警保护功能；b）整车具有防雷功能，天线及磐陛国壁雷装置；C）车内供电系统加装过库内需饕簟加丁d）在设备中，强电瞥吸W卷里或遗造出触椁飞警示标志，配

45、备详细的技术说明书和以图标,支号遴户人身安全和设备安G.2机械设计a) b)重尽件插:件的意界操作可能导致危险叫采用用操作由于不用特殊的防误插装置，误插时应有误耐加，必、件、增加操作CJ 插沟、场晚看用苻沂峻掇蜷溺寝效黝、能拨触:f 7 fd）对应的插头F 插座标以相同的颜色、文字或符号： / A /e）抽屉、I就物辞采潮麻漆覆且不娱:海钵Lf）抽屉示以相同的文字符号。 / /热设计/执产才热设计要求：a）确保设备在规定的看脑嗡件卷彳 1：冷晚雄渊:器件的工作温度不超过允许值；b）对于设备中高热易损的措施；C）为防止过热和过冷对人员伤害，可在设备和人员之间设置隔热层或辐射屏蔽。对

46、于散热器等释放热量的地方，贴上警告标志；d）强制风冷装置的进风口应加空气过滤装置，保证进入冷却装置的空气中不含飞虫、大颗粒尘埃被冷却器件对冷却气体有特殊要求时，还应采取干燥处理。G. 4耐压力设计耐压力设计要求：a）尽量减少相对运动件间的最大距离，使人体的任何部位都不能进入该间距;20SJ/Z 21483-2018b）增大相对运动件间的最小间距，使人体的有关部位能安全地进入此间距离而不会产生挤压。G. 5减振、抗加速度和冲击设计减振、抗加速度和冲击设计要求：a）设备应设计及制造成能经受自激振动或冲击，以及空运、陆运及海运过程中所遇到的振动或冲击，在各种工作环境条件下，在各种能满意地完成其全

47、部功能；b）设备设计应使它在工作时所产生的振动不应达到使人产生不舒服的感觉，并应避开共振频率；c）只有在设备的设计和制造难以满足规定的振动和冲击的要求时，或在振动和冲击可能会产生伤害性或破坏性的地方，才使用振动、冲击的隔振装置；d）只要有可能就应采用静态零部件；较重的器件应当进行加固；e）所有旋转装置应满足动平衡，在技术规范中应说明平衡要求的极限值；0 由陶瓷或其他脆性材料制成的脆性铸件或零件应加减振垫，以防在拧紧时破裂；g）减振安装架的设计应既要将支承面与产生振动的设备隔离,又要将敏感的设备与产生振动的设备隔离；h）印制板应注意安装方式并进行加固，其上元器件引脚线长应当尽量短，以增加抗振

48、能力；i）流体管道应安装牢固，以便在运行时不产生振动；悬空的线缆不宜拉的过紧，以防振动时断裂；j）产品的金属件经振动后应不会造成晶状结构改变且不产生金属疲劳。G.6防噪声设计防噪声设计要求：a）噪声使操作人员耳膜受伤害，产生疲劳和烦燥情绪，影响工作效率，并可能发生误操作而引发危险；b）设计与安装设备时，采取消声措施，将噪声降至最小。其方法有：确保旋转设备的动平衡；c）改变微波器件和高压电源所含磁性材料的质量或质量分布;控制旋转设备中冷却叶片和开孔的数量及相对位置，以消除/笛声效应；d）选择噪声小的电刷材料；e）注意动力部件的安装方式，以减少振动的传输；f）消除气流通道上能产生噪音的/发音簧

49、片；g）由于性能要求或军事上的需要，在强噪声环境中工作的人员，应采取配戴防护耳罩等个人保护装置措施，并限制其工作时间。G.7防辐射设计防辐射设计要求：a）非金属材料外壳应能充分地防御紫外线辐射的破坏,材料经过紫外线照射处理后应能满足其应有的机械强度要求；b）暴露于外界的设备、部件应当采用防太阳辐射的材料，对于良性热导体部位应提供警示标识;c）大功率微波发射机等，应采取有效的防护措施，进行适当的屏蔽，保证操作人员不得遭受过量辐射；d）微波设备的漏泄场应加以控制，在距其表面5cm处的漏泄场不应超过5mW/cn?；21SJ/Z 21483-2018e）限制危险燃油在射频场里散放；辐射装置的安装

50、位置应保证在工作过程中，避开对加油区的照射；在加注燃油期间应关闭有关发射机；f）对于所有辐射装置，装设控制辐射输出和各种辐射特性的装置；g）设备产生辐射时，采用主动式警告装置或被动式警告标识。G.8防火及防爆设计防火及防爆设计要求：a）在设备设计、制造中，使用不易燃或阻燃的元器件、材料、电线电缆等，以确保起火与火势蔓延的可能性最小；b）可引起着火或导致释放易燃学晔度的易燃物质、易爆元器件在结构上应采取有效的、严格防静电设计要.b) c)装有键夕静电联防静防青血6件接: 的环:系统的设计应散到基板，绕过对谑承震毓接在地线汇噩70%范围d）在才影G惠实时褛蓼求的情痴橇麴般由大电阻却（至

展开阅读全文