孙 旭， 蔡玉良， 于 淳

(中国船级社科创试验中心， 北京 100007)

随着人工智能与大数据技术的发展，智能船舶在国内外船舶领域获得了广泛关注。2016年，英国罗尔斯·罗伊斯的“AAWA项目”提出了无人驾驶船舶的研究技术与方案；2017年，我国发布了《新一代人工智能发展规划》，明确提出要大力发展无人船。智能船舶逐步成为航运业未来的重要发展方向。智能航行辅助决策系统作为智能船舶的重要组成部分，率先得到了开发和试验。作为船舶领域的新系统，有必要对智能船舶辅助决策系统的风险进行研究[1]，以避免智能船舶事故的发生。

国内外学者围绕智能船舶及其风险管理技术开展了一些研究。严新平[2]阐述了智能船舶研究的现状、关键技术和发展趋势，对完善智能船舶发展提出了研究建议。Goerlandt[3]引用风险治理框架开展智能船舶研究，依据智能船舶的主要风险特征对其自治程度进行分类，深入分析了智能系统生成的风险应对策略。范存龙等[4]通过构建VBPO-HSET模型，对海上自主水面船舶进行航行风险识别，并梳理了具体的风险因素。Wróbel等[5]应用基于假设分析的框架，评估了智能船舶与传统船舶的事故率和事故后果。严松等[6]结合港作拖轮的航行和作业特点，探讨性地设计了适用于拖轮的智能航行系统。郭鹍等[7]选用ROS机器人操作系统作为基础框架，通过消息机制相关联，完成场景识别、目标融合和自主学习，形成了新一代的智能船舶航行系统。Wibowo等[8]提出了在不确定性条件下，用于辅助航行船舶评估和选择的船舶智能决策支持系统。Banda等[9]提出了针对智能船舶系统早期设计阶段的详细危害分析和管理过程，为智能船舶的设计提供了连贯、透明和可追溯的安全信息。

上述关于智能船舶风险管理和船舶智能系统设计的研究，对于智能船舶的发展有极大的推动作用，但对船舶智能系统故障的影响、原因以及控制措施未进行深入研究。FMEA方法在智能船舶系统风险识别及控制方面具有较高的适用性。竹建福等[10]提出将FMEA方法应用于智能船舶上，重点在于评估船舶系统风险；Jerzy[11]运用FMEA方法，分析动态定位船舶推进系统的故障和应对方法，但均未考虑使用FMEA分析船舶系统潜在危险。

本文采用FMEA方法、风险矩阵方法，对智能航行辅助决策系统可能发生的故障模式、原因和风险程度进行研究，并在此基础上针对部分风险等级较高的故障模式提出了风险控制措施。

1 研究方法

1.1 研究步骤

本文基于综合安全评估的思想，采用FMEA和风险矩阵相结合的方法，对智能航行辅助决策系统进行风险识别和风险评估研究，并在此基础上提出风险控制对策研究，如图1所示。

图1 研究思路

智能航行辅助决策系统风险分析主要包含以下3个步骤。

1)风险识别。采用FMEA方法，对智能航行辅助决策系统可能发生的故障模式进行识别，并对故障的产生原因和可能造成的影响进行分析。

2)风险评估。结合风险矩阵对智能航行辅助决策系统故障的发生频率和后果进行分析，并在此基础上进行风险评估研究。

3)风险控制措施。根据智能航行辅助决策系统的风险评估输出结果，针对风险等级较高的故障模式提出风险控制措施。

1.2 FMEA

FMEA是一种风险识别方法，主要用来识别组件/系统各部分所有潜在的故障模式、故障产生的原因、故障对系统的影响、如何避免故障或减弱故障对系统的影响，以提升组件/系统的可靠性和稳定性。FMEA已经在科学仪器[12-13]、高端装备[14-15]和汽车产品[16-17]等领域得到了广泛的应用。

本文使用FMEA方法对智能航行辅助决策系统可能存在的故障模式进行识别，并对各个故障模式产生的原因和可能造成的影响进行分析。

1.3 风险矩阵

风险矩阵(Risk Matrix，RM)是一种风险可视化方法，运用图示清晰地表达概率、后果和两者综合影响的风险值，其广泛应用于石油化工、交通运输等领域。

风险评估结果常常通过建立概率和后果的评估结果与风险矩阵中标准化概率指数(Probability index, PI)和后果指数(Consequence Index, SI)之间的映射关系，将风险评估结果运用风险矩阵进行表达，如表1所示。

表1 风险矩阵

1.4 风险控制措施

风险控制措施一般是在风险评估的基础上，针对高风险/重要事故情景所提出的单一/组合风险应对手段。风险控制措施可以考虑从以下几个方面提出：①通过改进设计、优化程序、组织合理化、加强培训等措施减少事故发生的频率；②减轻故障的影响，预防事故发生；③改善可能发生事故的环境条件，降低事故发生及其后果发生的可能性；④减少事故造成的后果。

2 智能航行辅助决策系统

智能航行辅助决策系统是船舶航行中自动采取安全措施、保障船舶航行安全的系统，旨在减少智能船舶在航行中发生事故的风险，保证人员和财产安全。智能船舶的航行辅助决策系统主要由5个部分组成，如图2所示。

图2 智能航行辅助决策系统的组成

1)防火墙

防火墙是智能航行辅助决策系统的重要组成部分，它主要是利用智能工作站安全传输航行数据。防火墙如果故障，会影响智能工作站的航路优化功能及光电观察功能。

2)网络

网络是智能航行辅助决策系统中的灵魂。它包括网络平台和网线，是智能航行辅助决策系统能否正常运转的关键。其中，网络平台出现故障后，智能航行辅助决策系统将无法传输任何信息，航路优化功能失效；网线是智能航行辅助决策系统中的物理因素，它支持着网络平台和防火墙的正常运行。

3)智能工作站

智能工作站是智能航行辅助决策系统的大脑，它负责调度船舶的航行方向、船速、避碰等。它能接受AIS、雷达、海图信号、视频信号、GPS、气象文件等各种航行所需要的数据，帮助船舶规划航线和辅助避碰。一旦智能工作站发生故障，船舶将难以正常航行。

4)智慧桥综合导航系统

智慧桥综合导航系统是智能航行辅助决策系统的搬运工，它的工作是将智能工作站的数据传输给船舶，同时将船舶的航行数据传输给智能工作站。它如果出现故障，会对智能工作站的正常运转产生影响。

5)电源

电源是智能航行辅助决策系统的生命，它决定了船舶的辅助系统能否正常工作。如果电源发生故障，智能工作站的所有功能将失效，无法正常工作。

3 风险识别与评估

根据1.1节所述的研究步骤，对智能船舶辅助决策系统进行风险识别与风险评估研究。

3.1 风险识别

采用FMEA方法，对智能航行辅助决策系统可能发生的故障模式进行分析，识别结果如表2所示。

从表2可以看出：智能航行辅助决策系统面临17种故障模式；智能工作站(E3)可能会发生10种故障模式，网络(E2)存在3种故障模式，电源(E5)存在2种故障模式，防火墙(E1)和智慧桥综合导航系统(E4)各存在1种故障模式。

表2 智能航行辅助决策系统中的故障模式分析

在识别故障模式的基础上，进一步对智能航行辅助决策系统17种故障模式产生的原因和可能造成的影响逐一分析，如表3所示。

表3 智能航行辅助决策系统中的故障原因和影响分析

从表3可以看出：通过FMEA方法分析表明智能航行辅助决策系统故障由11种原因造成。其中，智能工作站与网络平台之间的防火墙出现故障(F11),智能工作站主机出现故障、无法开机(F31)，智慧桥综合导航系统出现故障、功能失效(F41)—智能工作站异常断电或意外关机(F52)的故障原因是硬件损坏；智能工作站与防火墙之间的网线出现故障、无法通信(F21)—智能工作站与智慧桥综合导航系统之间的网线出现故障、无法通信(F23)的故障原因是线路损坏；智能工作站无法获得雷达信号(F32)—智能工作站无法获得AIS传感器信号(F310)的故障原因是智能工作站的主要航海仪器损坏。

在所有故障原因中，除海图工作站故障(F33)，其他故障原因不会影响船舶的正常航行。不影响智能工作站功能的故障原因有智能工作站无法获得Speed Log传感器信号(F36)—智能工作站无法获得AIS传感器信号(F310)，其他故障均能让智能工作站的功能失效。根据不同故障对系统内外的影响程度，可以得出海图工作站故障(F33)在系统运行过程中需要重点监管和防范。

3.2 风险评估

在智能航行辅助决策系统风险识别的基础上，采用1.3节所述的风险矩阵方法，对17种故障模式发生的可能性、可能造成的后果进行分析，并在此基础上对智能航行辅助决策系统中的潜在风险进行评估，如表4所示。

表4 智能航行辅助决策系统的风险评估

从表4可以看出：智能工作站与网络平台之间的防火墙出现故障(F11)—智能工作站无法获得海图信息(F33)、智能工作站无法获得GPS信号(F35)—智能工作站无法获得GYRO传感器信号(F37)、智能工作站无法获得AIS传感器信号(F310)—智能工作站异常断电或意外关机(F52)为中风险的故障模式；智能工作站无法获得视频信号(F34)、智能工作站无法获得计程仪传感器信号(F38)和智能工作站无法获得风速风向仪传感器信号(F39)为低风险的故障模式。

4 风险控制措施研究

针对表4中分析出的14个中风险等级的故障模式，开展风险控制措施研究，如表5所示。

从表5可以看出：14种故障模式有着不同的风险控制措施，由于智能工作站与防火墙之间的网线出现故障且无法通信(F21)、防火墙与网络平台之间的网线出现故障且无法通信(F22)和智能工作站与智慧桥综合导航系统之间的网线出现故障且无法通信(F23)均属于网络设备故障，故采取相同的控制措施；除了AIS设备故障或是与AIS之间线路出现故障(F310)、硬件损坏(F51、F52)，余下的故障模式采用相同的措施冗余设置。

表5 智能航行辅助决策系统的风险控制措施

实施风险控制措施后，需要再次对设备进行风险评估，以便检验提出的风险控制措施是否有效，评估结果，如表6所示。

从表6可以看出：智能工作站与网络平台之间的防火墙出现故障(F11),智能工作站与防火墙之间的网线出现故障、无法通信(F21)，防火墙与网络平台之间的网线出现故障、无法通信(F22)，智能工作站无法获得雷达信号(F32)，智能工作站无法获得GPS信号(F35)，智能工作站无法获得Speed Log传感器信号(F36)，智能工作站无法获得GYRO传感器信号(F37)，工作站异常断电或意外关机(F52)在实施措施后由中风险降低到了低风险。智能工作站与智慧桥综合导航系统之间的网线出现故障、无法通信(F23)，智能工作站主机出现故障、无法开机(F31)，智能工作站无法获得海图信息(F33)，智慧桥综合导航系统出现故障、功能失效(F41)，电源供应失灵或降低、设备关机(F51)的风险等级从5降到了4。智能工作站无法获得AIS传感器信号(F310)是因为AIS设备故障，船舶通常只配备一台AIS，故障后维修较为困难，对于AIS故障暂且没有好的改进措施，故针对F310采取的改进措施效果较差，这一现象符合预期。

表6 实施措施后危害性分析

进一步对发生故障后实施措施前后风险比较分析，如表7所示。

表7 发生故障后实施措施前后风险比较

从表7可以看出：实施措施前后都没有高风险故障；实施措施后，故障风险由14个中风险降低为6个中风险，由3个低风险变为11个低风险。整体来看，风险控制措施是有效的。

5 结束语

通过智能航行辅助决策系统的风险识别和控制对策研究，应用FMEA原理识别决策系统的风险，对系统故障后的原因、影响进行分析，并在故障后采用风险矩阵方法评估系统风险。实施改进措施后，再次评估风险，确定风险控制措施。研究结果表明以下三点。

1)通过FMEA识别出17种故障模式，包含14种中风险和3种低风险等级的故障模式；对中风险故障模式实施风险控制措施后，8种故障模式从中风险降为低风险等级。

2)中风险的故障可分为两种，其一是硬件本身发生了故障，在船舶上采用冗余备份，可将中风险故障降低为低风险故障；其二是线路损坏，不影响船舶正常航行，采用冗余设计，可将中风险故障降低为低风险故障。

3)除了智能工作站无法获得海图信息(F33)，本系统故障对其他智能系统无影响，未发现影响综合导航系统功能和船舶正常航行的风险，对船舶的安全无影响。