MIL 882 ist eine Kurzbezeichnung für MIL-STD-882E, einen US-amerikanischen Militärstandard zur Systemsicherheit. Der Standard beschreibt ein Verfahren, mit dem Gefährdungen in technischen Systemen erkannt, bewertet, dokumentiert und bis zur Annahme oder Minderung des Risikos verfolgt werden.
Inhalt
Was bedeutet MIL 882?
MIL 882 steht für „Standard Practice for System Safety“. Gemeint ist kein einzelnes Prüfverfahren, sondern ein Rahmen für das Sicherheitsmanagement über den Lebenszyklus eines Systems. Der Standard wird vor allem mit militärischen Beschaffungs- und Entwicklungsprojekten verbunden, kann aber auch als fachliche Referenz für sicherheitsbezogene Entwicklungsprozesse in anderen technischen Bereichen dienen.
Der Begriff Systemsicherheit bezeichnet dabei den Umgang mit Gefährdungen, die aus dem Zusammenwirken von Hardware, Software, Menschen, Verfahren und Umgebung entstehen können. MIL-882 betrachtet Risiken deshalb nicht nur an einzelnen Komponenten, sondern am System und an dessen Nutzung.
Wie funktioniert MIL 882?
MIL-882 arbeitet mit einem strukturierten Gefährdungsmanagement. Zuerst werden mögliche Gefährdungen identifiziert. Danach wird bewertet, welche Folgen eine Gefährdung haben kann und mit welcher Eintrittswahrscheinlichkeit sie verbunden ist. Aus Schweregrad und Wahrscheinlichkeit ergibt sich eine Risikoeinstufung.
Ein Projekt dokumentiert die erkannten Gefährdungen meist in einem Gefährdungsprotokoll oder Hazard Log. Dort werden Ursachen, mögliche Folgen, vorgesehene Maßnahmen, Restrisiken und Zuständigkeiten festgehalten. Risiken werden nicht nur einmal bewertet, sondern über Entwicklung, Test, Betrieb und Änderungen hinweg nachverfolgt.
Zur Risikobehandlung unterscheidet MIL-882 mehrere Arten von Maßnahmen. Vorrang hat die Beseitigung der Gefährdung durch Änderung des Entwurfs. Wenn das nicht möglich ist, können Schutzmaßnahmen, Warnungen, Verfahren oder Schulungen eingesetzt werden. Das verbleibende Risiko muss von einer zuständigen Stelle angenommen werden.
Wo wird MIL 882 verwendet?
MIL-882 wird in Projekten verwendet, bei denen technische Systeme mit sicherheitsbezogenen Anforderungen entwickelt, beschafft, geändert oder betrieben werden. Dazu zählen militärische Fahrzeuge, Luftfahrtsysteme, Waffensysteme, Kommunikationssysteme, Softwareanteile und unterstützende Ausrüstung.
Der Standard kann auch in Verträgen, Lastenheften oder Sicherheitsplänen auftauchen. Dann beschreibt er, welche Analysen, Nachweise und Dokumente ein Auftragnehmer liefern muss. Die konkrete Ausgestaltung hängt vom Projekt, vom Systemumfang und von den vertraglichen Vorgaben ab.
Eigenschaften
MIL-882 legt den Schwerpunkt auf ein nachverfolgbares Vorgehen. Gefährdungen sollen beschrieben, bewertet und einer verantwortlichen Bearbeitung zugeordnet werden. Dadurch entsteht eine Verbindung zwischen technischer Analyse, Risikobehandlung und formaler Risikoannahme.
Der Standard nutzt Risikokategorien, um Gefährdungen vergleichbar zu machen. Die Bewertung ersetzt aber keine technische Analyse. Sie ordnet die Ergebnisse der Analyse ein und unterstützt Entscheidungen darüber, welche Maßnahmen erforderlich sind und welches Restrisiko akzeptiert wird.
Ein weiteres Merkmal ist die Einbindung des gesamten Systemlebenszyklus. Gefährdungen können in der Konzeptphase, im Entwurf, bei Tests, während des Betriebs oder nach Änderungen auftreten. MIL-882 behandelt Systemsicherheit daher als fortlaufende Aufgabe.
Abgrenzung zu verwandten Begriffen
MIL-882 ist von funktionaler Sicherheit zu unterscheiden. Funktionale Sicherheit bezieht sich auf sicherheitsbezogene Steuerungs- und Schutzfunktionen, etwa nach Normen wie IEC 61508 oder ISO 26262. MIL-882 betrachtet breiter, wie Gefährdungen im gesamten System entstehen und behandelt werden.
Der Standard ist auch kein Qualitätsmanagementsystem. Qualitätsmanagement beschreibt Prozesse zur Erfüllung festgelegter Anforderungen. MIL-882 befasst sich mit Gefährdungen, Risiken und der Annahme von Restrisiken.
Von einer reinen Gefährdungsanalyse unterscheidet sich MIL-882 durch den Managementanteil. Eine Analyse identifiziert und bewertet Gefährdungen. MIL-882 verlangt darüber hinaus Dokumentation, Nachverfolgung, Maßnahmenplanung und formale Entscheidungen über verbleibende Risiken.
Grenzen und typische Missverständnisse
Der Standard beschreibt ein Verfahren zum Umgang mit Risiken. Am Ende können Restrisiken verbleiben, die bewertet und angenommen werden müssen.
Ein weiteres Missverständnis besteht darin, MIL-882 als Checkliste zu behandeln. Einzelne Tabellen oder Risikomatrizen reichen nicht aus. Der Standard verlangt eine nachvollziehbare Verbindung zwischen Gefährdung, Ursache, Risiko, Maßnahme, Verifikation und Risikoannahme.
MIL-882 ersetzt keine technischen Detailnormen. Für elektrische Sicherheit, Softwareentwicklung, Lufttüchtigkeit, Explosionsschutz oder andere Fachgebiete können zusätzliche Vorschriften gelten. MIL-882 ordnet solche Nachweise in ein Systemsicherheitsverfahren ein, legt aber nicht für jedes Fachgebiet eigene Detailanforderungen fest.
