基于FMEA方法的船舶IBS航行安全分析

2020-05-31董翔

船舶与海洋工程 2020年2期

董翔

（沪东中华造船（集团）有限公司，上海 200129）

1 FMEA方法

1.1 FMEA方法的定义

故障模式和影响分析（Failure Mode and Effect Analysis, FMEA）方法是一种重要的综合安全分析方法，用来分析系统内每个部件的潜在失效模式，并按严重程度予以归类，确认各种失效模式对整个系统安全的影响。FMEA能建立实现最小化失效可能性的系统需求，识别促使失效的某些设计特征，最大程度地减少或消除对应的影响，确保任何可能出现的失效都不会对整个系统造成严重的影响，从而提高产品的可靠性和安全性[1]。

故障模式即产品故障的表现形式，如无显示、停机和报警等。故障可按表现形式分为显性故障和隐性故障2种，其中：显性故障是指相关分析人员可不借助额外的设备或工具，立即发现的故障，例如断电、无画面和发生报警等；隐性故障是指相关分析人员需借助额外的设备或工具，通过一段时间的监测之后才能发现的故障，例如发电机内部绝缘老化等。隐性故障往往难以分析和发现，造成的危害相比显性故障更大。在进行故障模式分析时，尤其需对隐性故障予以重视[2]。

1.2 FMEA的基本步骤

FMEA 的基本步骤如下：

1) 明确分析范围和边界条件；

2) 明确系统的功能定义，绘制功能框图；

3) 分析故障模式，即故障的表现形式；

4) 分析故障原因，即引发故障的原因；

5) 分析故障影响，即故障导致的各种后果，包括对部件自身的影响、对系统的影响和对总体安全的影响；

6) 探寻故障检测方法；

7) 提出可能的预防改进措施；

8) 填写FMEA工作表，编制FMEA报告。

1.3 FMEA的主要分析方法

FMEA是一种从功能和硬件方面对系统安全进行分析的技术。根据系统实际情况，可分为功能分析和硬件分析2类。

1) 任何复杂系统都是由彼此联系的功能模块组成一个有机整体，进而形成完整的功能体系。功能分析法正是利用复杂系统的这种特点，从系统内部的各功能模块入手，分析其故障模式和带来的影响。

2) 硬件分析法根据系统的功能框图或可靠性框图分析系统内各单元要素所有可能出现的故障模式和对应的影响，并将整个分析过程转化为表格形式，是一种周密严谨的分析方法。

这2种方法各有利弊，在实际工程应用中，可根据具体信息和资料的丰富程度来选择合适的方法。本文采用硬件分析法。

2 某型船的IBS

2.1 IBS配置

目标船的综合桥楼系统（Integrated Bridge System, IBS）的主要配置如下。

2.1.1 海图雷达

该船配置有2套海图雷达，分别为：

1) X波段的海图雷达，型号为FURUNO FAR-3020X，位于航行及操纵工作站；

2) S波段的海图雷达，型号为FURUNO FAR-3030S，位于监控工作站。

2套雷达均具有自动雷达标绘（Automatic Radar Plotting Aid, ARPA）功能和海图雷达功能，并能通过网络集线器互相连接，共享相关的图像信息；同时，2套雷达既可自成体系，又可互为备份，任何一套雷达发生故障，都不会对整个系统造成实质性的影响。

海图雷达的电源部分除了由 220V航行分电箱供电以外，还额外提供一路 10min的独立不间断电源（Uninterrupted Power Supply, UPS），其中220V航行分电箱由220V主配电板和220V应急配电板双路供电。该电源供电设计保证船舶220V电源发生故障之后，雷达能在应急电源供电之前正常运行。

2.1.2 电子海图系统

该项目配置3套型号为FMD-3300的电子海图系统，分别位于航行及操纵工作站、监控工作站和航行计划站。3套电子海图系统能通过网络集线器连接，通过以太网技术实现相互间的数据交换和共享，互为冗余。航行计划站的电子海图系统能通过网络将航线计划数据发送给航行及操纵工作站和监控工作站的电子海图系统。每套电子海图系统都具有TCS（Track Control System）功能，能配合自动操舵仪对船舶进行航迹控制。

电子海图系统的电源设计与海图雷达相同，同样额外提供一路10min的独立UPS，保证船舶220V电源发生故障之后，电子海图系统能在应急电源供电之前正常运行。

2.1.3 桥楼报警管理系统/CONNING

CONNING工作站位于驾驶台中心位置，不仅能显示各种导航传感器和推进器的数据信息，而且集成了桥楼报警管理系统模块，能实时显示IBS相关系统和设备的运行状态，并通过与机舱监测报警系统互联，实时显示全船的报警状态信息。

2.1.4 自动操舵系统

该船的航迹控制系统包含自动操舵系统和TCS。自动操舵系统功能框图见图1。自动操舵主控板、模式选择控制板和自动操舵仪控制箱布置在IBS的航行及操作工作站上。自动舵左翼、右翼控制板和FU（Follow-Up）控制板分别布置在驾驶室左翼、右翼的靠港工作站上。主操舵仪控制箱、备用操舵仪控制箱和伺服单元布置在舵机间内。舵机上安装2台舵机反馈传感器。虽然自动操舵系统不是完全囊括在IBS中的，但由于其直接对接船舶控制，有必要完整展现其功能框图，以便后续实施FMEA。

图1 自动操舵系统功能框图

2.1.5 导航传感器

该船的位置传感器配置有2套卫星定位系统（Global Positioning System, GPS）；艏向信号设备配置有2台艏向传感器陀螺罗经，提供相关信号供导航系统和其他相关设备使用；测深仪和计程仪传感器各配置有1台传感器陀螺罗经。

2.2 IBS功能框图

该船的IBS网络由主干网和传感器信息网组成，其中：主干网由3套电子海图和2套海图雷达通过集线器HUB连接组成；传感器信息网由传感器适配器和2台传感器交换机组成。传感器信号可通过串口信号协议直接传输给电子海图和海图雷达的处理器主机。电子海图和海图雷达的处理器主机均配置相同的接口硬件设备，配置的显示器均为多功能显示器，通过安装功能不同的软件，在显示器上实现不同功能画面的输出和自由切换。

该部分的电源为双路电源设计，一路为正常的220V航行分电箱电源，另一路为UPS。220V航行分电箱电源来自于220V主配电板和应急配电板。当220V主电源发生故障时，220V航行分电箱电源自动切换至220V应急电源；当220V航行分电箱电源发生故障时，自动切换至UPS供电，实现系统不间断运行（电源部分的FMEA在后续表格中不再展开）。具体功能框图见图2。

图2 目标船IBS功能框图

3 基于FMEA方法的IBS航行安全分析

3.1 确定FMEA对象

本文分析的对象为某船的IBS，该系统满足挪威船级社（Det Norske Veritas, DNV）的IBS入籍符号NAUT-AW的要求。该IBS较为复杂，涉及的辅助系统和设备众多。若对所有系统和设备都进行分析，过程十分繁琐。为更有针对性地进行分析，本文将不重要的辅助系统和设备（如自动电话、甚高频电话和雾笛等）剔除，同时将FMEA对象锁定在航行及操纵工作站和监控工作站等主要用于保证船舶安全航行的工作站上。

3.2 FMEA任务目标

本文进行FMEA的目的是确定影响船舶安全航行的最恶劣故障模式及其造成的影响，深入分析引发故障的各种可能的原因，并提出相应的改进措施和补偿手段，进一步提升船舶的安全航行性能。

3.3 实施FMEA的边界条件

1) 所有的IBS都正常运行；

2) 其他相关系统都正常运行；

3) 在分析时，相关故障均为单点故障；

4) 单点故障触发系统发生故障时，其备用系统工作正常，运转无障碍；

5) 在分析过程中，仅评价某个系统当前的状态，其备用系统工作正常，运转无障碍。

3.4 FMEA的故障模式

IBS设备通常由电源模块、操作单元、接口单元网络、网络集线器、传感器适配器和处理单元等部件组成。预计的失效模式大致可分为电源故障、传感器故障、网络集线器故障和其他组件故障等。

3.5 FMEA的安全等级

FMEA的安全等级一般按严重程度分为致命、严重、临界和轻微等4个级别，其中：“致命”的等级最高，极易造成重大的安全事故；“严重”的等级其次，可能会造成事故；“临界”的等级不会造成明显的损失；“轻微”的等级可忽略不计。具体FMEA安全等级分类见表1[3]。

表1 FMEA安全等级分类

3.6 目标船的FMEA

根据FMEA方法和步骤，结合具体的功能框图，对目标船的IBS进行FMEA，所得结果以表格的形式呈现，具体见表2（由于No.2 ECDIS和No.3 ECDIS与No.1ECDIS相同，为节省篇幅，这里将二者省略）。

表2 目标船IBS的FMEA

4 结论分析

由该船IBS的FMEA结果可知：由于IBS的网络结构体系和设备配置的冗余性设计，任何一个单点故障发生之后，IBS侦测到故障时立即启动对应的补偿机制，不会出现高安全等级的故障模式，对船舶安全航行不会造成任何实质性的影响。

IBS的安全性设计主要体现在网络和设备2个方面。下面以碰撞和搁浅这2种主流航行安全事故为例，结合该船的实际情况展开具体分析。

1) 以船舶碰撞事故为例，为避免船舶发生碰撞事故，国际海事组织（International Maritime Organization,IMO）的相关规范要求最低需配置的硬件设备为1套具有ARPA功能的海图雷达和1套具有提供艏向信号功能的传感器[4-5]。本文所述目标船共配置2套具有ARPA功能的海图雷达和2套陀螺罗经。任何一套海图雷达发生故障，另一套海图雷达都可作为避碰预警雷达使用。同时，2套陀螺罗经均可提供艏向信号给当前的海图雷达使用。另外，若导航主干网络发生故障，当前的海图雷达可作为独立的避碰预警雷达正常运行。若传感器信息网的网关发生故障，可切换至备用网关继续发送相关信息。若整个传感器信息网失效，陀螺罗经的艏向信号可直接传输给当前的海图雷达，保证其相关功能正常，确保避碰功能正常实现。若正常电源发生故障，当前海图雷达的电源立即切换至备用UPS，雷达的避碰预警功能不会受到任何影响。因此，任何单点出现故障都不会对船舶的避碰功能产生实质性的影响，该船的IBS相关设计完全满足避碰预警的安全要求。

2) 以船舶搁浅事故为例，IMO相关规范要求的最低硬件配置为至少保持1套电子海图系统正常工作[4-5]。该船共配置3套功能相近的电子海图设备和1套测深仪传感器。电子海图不仅可规划船舶航行轨迹，而且可根据海图数据库的信息查询出相关海域的水深信息。在正常情况下，船舶的水深数据是通过安装在舱底的测深仪传感器，利用多普勒声学效应测量、计算得出的。当传感器信息网失效之后，测深仪传感器的数据可直接发送给当前的电子海图系统。若测深仪传感器失效，电子海图系统可根据海图数据库中的海域水深信息辅助进行搁浅预警决策。另外，根据附录FMEA表格的分析结果，任何单点出现故障时，系统都能保证至少1套功能完整的电子海图系统正常工作。因此，任何单点出现故障都不会对船舶的搁浅预警功能产生实质性的影响，该船的IBS相关设计完全满足搁浅预警的安全要求。

综上所述，该船的IBS设计能在任何单点出现故障时正常实现船舶避碰和避免搁浅功能，完全满足船舶安全航行的需求。