Bestes CMMS für die Verteidigungsindustrie: AS9100, ITAR und Zugangskontrolle

Die Rüstungsindustrie unterliegt den strengsten Compliance- und Sicherheitsanforderungen aller Fertigungsbranchen. Die AS9100-Zertifizierung für Qualitätsmanagement erfordert dokumentierte Instandhaltungsprogramme für Anlagen mit Rückführbarkeit der Kalibrierung auf nationale Messnormen. Die ITAR (International Traffic in Arms Regulations) regelt den Zugriff auf technische Daten und Systeme und stellt somit Anforderungen an CMMS (Computerized Maintenance Management Systems) hinsichtlich Datenzugriffsbeschränkung und Protokollierung, die die meisten kommerziellen CMMS-Plattformen nicht nativ abdecken. Wichtige CMMS-Anforderungen für die Rüstungsindustrie sind: rollenbasierte Zugriffskontrolle, die die Datensichtbarkeit im CMMS für ITAR-kontrollierte Programme auf US-Bürger beschränkt; vollständige Prüfprotokolle gemäß AS9100; Kalibrierungsmanagement in Verbindung mit Anforderungen an die Messunsicherheit (Messsysteme der Rüstungsindustrie erfordern oft engere Toleranzen als vergleichbare kommerzielle Systeme); und Integration mit den Dokumentationsanforderungen der DCMA (Defense Contract Management Agency). Der Einsatz eines Cloud-CMMS für ITAR-kontrollierte Programme erfordert entweder FedRAMP-autorisiertes Cloud-Hosting oder den sorgfältigen Ausschluss ITAR-konformer technischer Daten aus den Cloud-Speichern.

AS9100 Abschnitt 7.1.5 fordert dokumentierte Programme für Überwachungs- und Messgeräte. Im Verteidigungssektor werden diese Anforderungen durch Qualitätsaudits der DCMA (Defense Commission of the Medical Authorities) erweitert, die Kalibrieraufzeichnungen detailliert prüfen. Kalibrierprogramme für die Verteidigungsindustrie erfordern typischerweise: rückführbare Kalibrierung auf NIST-Standards (nicht nur Herstellerspezifikationen), Kalibrierintervalle basierend auf dokumentierten Stabilitätsanalysen anstelle willkürlicher Zeitpläne, Verfahren zur Untersuchung von Toleranzabweichungen mit dokumentierter Produktfolgenabschätzung sowie die Akkreditierung des Kalibrierlabors (ISO/IEC 17025) für interne Kalibrierungen. CMMS (California Maintenance Management System) muss die von AS9100- und DCMA-Auditoren geprüften Nachweise zur Kalibrierkonformität generieren: Einhaltungsquoten der Kalibriertermine, Historien von Toleranzabweichungen mit entsprechenden Protokollen sowie die Gerätenutzung während Toleranzabweichungszeiträumen zur Bewertung von Produktrückrufen. Die Anforderungen an die Erstmusterprüfung (FAI) gemäß AS9100 und die Sondergenehmigungen des NADCAP (National Aerospace and Defense Contractors Accreditation Program) führen zu zusätzlichen Dokumentationsanforderungen für die Gerätequalifizierung, die das CMMS-Kalibrierungsmanagement erfüllen muss.

Für Rüstungshersteller, die ITAR-kontrollierte technische Daten verarbeiten, stellt CMMS eine Herausforderung für die Datensicherheit dar: Wartungsaufträge, Anlagenzeichnungen und Prozessdokumente, die in CMMS gespeichert sind, können ITAR-kontrollierte technische Daten darstellen. Gängige kommerzielle Cloud-CMMS-Plattformen speichern Daten auf global zugänglichen Servern, was gegen die ITAR-Vorschriften zum Umgang mit technischen Daten verstoßen kann. Rüstungshersteller haben daher folgende Möglichkeiten: Sie müssen entweder ein On-Premise-CMMS in ihrer kontrollierten IT-Umgebung einsetzen, ein Cloud-CMMS mit FedRAMP-Zulassung nutzen (begrenzte Optionen – hauptsächlich IBM Maximo in der IBM Cloud oder On-Premise), die CMMS-Datenarchitektur sorgfältig so gestalten, dass ITAR-kontrollierte Inhalte aus den Cloud-Datensätzen ausgeschlossen werden, während nicht-kontrollierte Wartungsworkflow-Daten erhalten bleiben, oder eine ITAR-Ausnahmegenehmigung des US-Außenministeriums für ihre CMMS-Implementierung einholen. Die meisten mittelständischen Rüstungshersteller entscheiden sich für die dritte Option: Cloud-CMMS für Arbeitsaufträge und nicht-kontrollierte Daten, während kontrollierte technische Daten in einem separaten, klassifizierten oder kontrollierten Dokumentenmanagementsystem verwaltet werden. Vor der Auswahl eines Cloud-CMMS für Verteidigungsprogramme, die kontrollierte technische Daten verarbeiten, sollten Sie sich von ITAR-Experten beraten lassen.