孫 旭， 蔡玉良， 于 淳

(中國船級社科創(chuàng)試驗(yàn)中心， 北京 100007)

隨著人工智能與大數(shù)據(jù)技術(shù)的發(fā)展，智能船舶在國內(nèi)外船舶領(lǐng)域獲得了廣泛關(guān)注。2016年，英國羅爾斯·羅伊斯的“AAWA項(xiàng)目”提出了無人駕駛船舶的研究技術(shù)與方案；2017年，我國發(fā)布了《新一代人工智能發(fā)展規(guī)劃》，明確提出要大力發(fā)展無人船。智能船舶逐步成為航運(yùn)業(yè)未來的重要發(fā)展方向。智能航行輔助決策系統(tǒng)作為智能船舶的重要組成部分，率先得到了開發(fā)和試驗(yàn)。作為船舶領(lǐng)域的新系統(tǒng)，有必要對智能船舶輔助決策系統(tǒng)的風(fēng)險進(jìn)行研究[1]，以避免智能船舶事故的發(fā)生。

國內(nèi)外學(xué)者圍繞智能船舶及其風(fēng)險管理技術(shù)開展了一些研究。嚴(yán)新平[2]闡述了智能船舶研究的現(xiàn)狀、關(guān)鍵技術(shù)和發(fā)展趨勢，對完善智能船舶發(fā)展提出了研究建議。Goerlandt[3]引用風(fēng)險治理框架開展智能船舶研究，依據(jù)智能船舶的主要風(fēng)險特征對其自治程度進(jìn)行分類，深入分析了智能系統(tǒng)生成的風(fēng)險應(yīng)對策略。范存龍等[4]通過構(gòu)建VBPO-HSET模型，對海上自主水面船舶進(jìn)行航行風(fēng)險識別，并梳理了具體的風(fēng)險因素。Wróbel等[5]應(yīng)用基于假設(shè)分析的框架，評估了智能船舶與傳統(tǒng)船舶的事故率和事故后果。嚴(yán)松等[6]結(jié)合港作拖輪的航行和作業(yè)特點(diǎn)，探討性地設(shè)計了適用于拖輪的智能航行系統(tǒng)。郭鹍等[7]選用ROS機(jī)器人操作系統(tǒng)作為基礎(chǔ)框架，通過消息機(jī)制相關(guān)聯(lián)，完成場景識別、目標(biāo)融合和自主學(xué)習(xí)，形成了新一代的智能船舶航行系統(tǒng)。Wibowo等[8]提出了在不確定性條件下，用于輔助航行船舶評估和選擇的船舶智能決策支持系統(tǒng)。Banda等[9]提出了針對智能船舶系統(tǒng)早期設(shè)計階段的詳細(xì)危害分析和管理過程，為智能船舶的設(shè)計提供了連貫、透明和可追溯的安全信息。

上述關(guān)于智能船舶風(fēng)險管理和船舶智能系統(tǒng)設(shè)計的研究，對于智能船舶的發(fā)展有極大的推動作用，但對船舶智能系統(tǒng)故障的影響、原因以及控制措施未進(jìn)行深入研究。FMEA方法在智能船舶系統(tǒng)風(fēng)險識別及控制方面具有較高的適用性。竹建福等[10]提出將FMEA方法應(yīng)用于智能船舶上，重點(diǎn)在于評估船舶系統(tǒng)風(fēng)險；Jerzy[11]運(yùn)用FMEA方法，分析動態(tài)定位船舶推進(jìn)系統(tǒng)的故障和應(yīng)對方法，但均未考慮使用FMEA分析船舶系統(tǒng)潛在危險。

本文采用FMEA方法、風(fēng)險矩陣方法，對智能航行輔助決策系統(tǒng)可能發(fā)生的故障模式、原因和風(fēng)險程度進(jìn)行研究，并在此基礎(chǔ)上針對部分風(fēng)險等級較高的故障模式提出了風(fēng)險控制措施。

1 研究方法

1.1 研究步驟

本文基于綜合安全評估的思想，采用FMEA和風(fēng)險矩陣相結(jié)合的方法，對智能航行輔助決策系統(tǒng)進(jìn)行風(fēng)險識別和風(fēng)險評估研究，并在此基礎(chǔ)上提出風(fēng)險控制對策研究，如圖1所示。

圖1 研究思路

智能航行輔助決策系統(tǒng)風(fēng)險分析主要包含以下3個步驟。

1)風(fēng)險識別。采用FMEA方法，對智能航行輔助決策系統(tǒng)可能發(fā)生的故障模式進(jìn)行識別，并對故障的產(chǎn)生原因和可能造成的影響進(jìn)行分析。

2)風(fēng)險評估。結(jié)合風(fēng)險矩陣對智能航行輔助決策系統(tǒng)故障的發(fā)生頻率和后果進(jìn)行分析，并在此基礎(chǔ)上進(jìn)行風(fēng)險評估研究。

3)風(fēng)險控制措施。根據(jù)智能航行輔助決策系統(tǒng)的風(fēng)險評估輸出結(jié)果，針對風(fēng)險等級較高的故障模式提出風(fēng)險控制措施。

1.2 FMEA

FMEA是一種風(fēng)險識別方法，主要用來識別組件/系統(tǒng)各部分所有潛在的故障模式、故障產(chǎn)生的原因、故障對系統(tǒng)的影響、如何避免故障或減弱故障對系統(tǒng)的影響，以提升組件/系統(tǒng)的可靠性和穩(wěn)定性。FMEA已經(jīng)在科學(xué)儀器[12-13]、高端裝備[14-15]和汽車產(chǎn)品[16-17]等領(lǐng)域得到了廣泛的應(yīng)用。

本文使用FMEA方法對智能航行輔助決策系統(tǒng)可能存在的故障模式進(jìn)行識別，并對各個故障模式產(chǎn)生的原因和可能造成的影響進(jìn)行分析。

1.3 風(fēng)險矩陣

風(fēng)險矩陣(Risk Matrix，RM)是一種風(fēng)險可視化方法，運(yùn)用圖示清晰地表達(dá)概率、后果和兩者綜合影響的風(fēng)險值，其廣泛應(yīng)用于石油化工、交通運(yùn)輸?shù)阮I(lǐng)域。

風(fēng)險評估結(jié)果常常通過建立概率和后果的評估結(jié)果與風(fēng)險矩陣中標(biāo)準(zhǔn)化概率指數(shù)(Probability index, PI)和后果指數(shù)(Consequence Index, SI)之間的映射關(guān)系，將風(fēng)險評估結(jié)果運(yùn)用風(fēng)險矩陣進(jìn)行表達(dá)，如表1所示。

表1 風(fēng)險矩陣

1.4 風(fēng)險控制措施

風(fēng)險控制措施一般是在風(fēng)險評估的基礎(chǔ)上，針對高風(fēng)險/重要事故情景所提出的單一/組合風(fēng)險應(yīng)對手段。風(fēng)險控制措施可以考慮從以下幾個方面提出：①通過改進(jìn)設(shè)計、優(yōu)化程序、組織合理化、加強(qiáng)培訓(xùn)等措施減少事故發(fā)生的頻率；②減輕故障的影響，預(yù)防事故發(fā)生；③改善可能發(fā)生事故的環(huán)境條件，降低事故發(fā)生及其后果發(fā)生的可能性；④減少事故造成的后果。

2 智能航行輔助決策系統(tǒng)

智能航行輔助決策系統(tǒng)是船舶航行中自動采取安全措施、保障船舶航行安全的系統(tǒng)，旨在減少智能船舶在航行中發(fā)生事故的風(fēng)險，保證人員和財產(chǎn)安全。智能船舶的航行輔助決策系統(tǒng)主要由5個部分組成，如圖2所示。

圖2 智能航行輔助決策系統(tǒng)的組成

1)防火墻

防火墻是智能航行輔助決策系統(tǒng)的重要組成部分，它主要是利用智能工作站安全傳輸航行數(shù)據(jù)。防火墻如果故障，會影響智能工作站的航路優(yōu)化功能及光電觀察功能。

2)網(wǎng)絡(luò)

網(wǎng)絡(luò)是智能航行輔助決策系統(tǒng)中的靈魂。它包括網(wǎng)絡(luò)平臺和網(wǎng)線，是智能航行輔助決策系統(tǒng)能否正常運(yùn)轉(zhuǎn)的關(guān)鍵。其中，網(wǎng)絡(luò)平臺出現(xiàn)故障后，智能航行輔助決策系統(tǒng)將無法傳輸任何信息，航路優(yōu)化功能失效；網(wǎng)線是智能航行輔助決策系統(tǒng)中的物理因素，它支持著網(wǎng)絡(luò)平臺和防火墻的正常運(yùn)行。

3)智能工作站

智能工作站是智能航行輔助決策系統(tǒng)的大腦，它負(fù)責(zé)調(diào)度船舶的航行方向、船速、避碰等。它能接受AIS、雷達(dá)、海圖信號、視頻信號、GPS、氣象文件等各種航行所需要的數(shù)據(jù)，幫助船舶規(guī)劃航線和輔助避碰。一旦智能工作站發(fā)生故障，船舶將難以正常航行。

4)智慧橋綜合導(dǎo)航系統(tǒng)

智慧橋綜合導(dǎo)航系統(tǒng)是智能航行輔助決策系統(tǒng)的搬運(yùn)工，它的工作是將智能工作站的數(shù)據(jù)傳輸給船舶，同時將船舶的航行數(shù)據(jù)傳輸給智能工作站。它如果出現(xiàn)故障，會對智能工作站的正常運(yùn)轉(zhuǎn)產(chǎn)生影響。

5)電源

電源是智能航行輔助決策系統(tǒng)的生命，它決定了船舶的輔助系統(tǒng)能否正常工作。如果電源發(fā)生故障，智能工作站的所有功能將失效，無法正常工作。

3 風(fēng)險識別與評估

根據(jù)1.1節(jié)所述的研究步驟，對智能船舶輔助決策系統(tǒng)進(jìn)行風(fēng)險識別與風(fēng)險評估研究。

3.1 風(fēng)險識別

采用FMEA方法，對智能航行輔助決策系統(tǒng)可能發(fā)生的故障模式進(jìn)行分析，識別結(jié)果如表2所示。

從表2可以看出：智能航行輔助決策系統(tǒng)面臨17種故障模式；智能工作站(E3)可能會發(fā)生10種故障模式，網(wǎng)絡(luò)(E2)存在3種故障模式，電源(E5)存在2種故障模式，防火墻(E1)和智慧橋綜合導(dǎo)航系統(tǒng)(E4)各存在1種故障模式。

表2 智能航行輔助決策系統(tǒng)中的故障模式分析

在識別故障模式的基礎(chǔ)上，進(jìn)一步對智能航行輔助決策系統(tǒng)17種故障模式產(chǎn)生的原因和可能造成的影響逐一分析，如表3所示。

表3 智能航行輔助決策系統(tǒng)中的故障原因和影響分析

從表3可以看出：通過FMEA方法分析表明智能航行輔助決策系統(tǒng)故障由11種原因造成。其中，智能工作站與網(wǎng)絡(luò)平臺之間的防火墻出現(xiàn)故障(F11),智能工作站主機(jī)出現(xiàn)故障、無法開機(jī)(F31)，智慧橋綜合導(dǎo)航系統(tǒng)出現(xiàn)故障、功能失效(F41)—智能工作站異常斷電或意外關(guān)機(jī)(F52)的故障原因是硬件損壞；智能工作站與防火墻之間的網(wǎng)線出現(xiàn)故障、無法通信(F21)—智能工作站與智慧橋綜合導(dǎo)航系統(tǒng)之間的網(wǎng)線出現(xiàn)故障、無法通信(F23)的故障原因是線路損壞；智能工作站無法獲得雷達(dá)信號(F32)—智能工作站無法獲得AIS傳感器信號(F310)的故障原因是智能工作站的主要航海儀器損壞。

在所有故障原因中，除海圖工作站故障(F33)，其他故障原因不會影響船舶的正常航行。不影響智能工作站功能的故障原因有智能工作站無法獲得Speed Log傳感器信號(F36)—智能工作站無法獲得AIS傳感器信號(F310)，其他故障均能讓智能工作站的功能失效。根據(jù)不同故障對系統(tǒng)內(nèi)外的影響程度，可以得出海圖工作站故障(F33)在系統(tǒng)運(yùn)行過程中需要重點(diǎn)監(jiān)管和防范。

3.2 風(fēng)險評估

在智能航行輔助決策系統(tǒng)風(fēng)險識別的基礎(chǔ)上，采用1.3節(jié)所述的風(fēng)險矩陣方法，對17種故障模式發(fā)生的可能性、可能造成的后果進(jìn)行分析，并在此基礎(chǔ)上對智能航行輔助決策系統(tǒng)中的潛在風(fēng)險進(jìn)行評估，如表4所示。

表4 智能航行輔助決策系統(tǒng)的風(fēng)險評估

從表4可以看出：智能工作站與網(wǎng)絡(luò)平臺之間的防火墻出現(xiàn)故障(F11)—智能工作站無法獲得海圖信息(F33)、智能工作站無法獲得GPS信號(F35)—智能工作站無法獲得GYRO傳感器信號(F37)、智能工作站無法獲得AIS傳感器信號(F310)—智能工作站異常斷電或意外關(guān)機(jī)(F52)為中風(fēng)險的故障模式；智能工作站無法獲得視頻信號(F34)、智能工作站無法獲得計程儀傳感器信號(F38)和智能工作站無法獲得風(fēng)速風(fēng)向儀傳感器信號(F39)為低風(fēng)險的故障模式。

4 風(fēng)險控制措施研究

針對表4中分析出的14個中風(fēng)險等級的故障模式，開展風(fēng)險控制措施研究，如表5所示。

從表5可以看出：14種故障模式有著不同的風(fēng)險控制措施，由于智能工作站與防火墻之間的網(wǎng)線出現(xiàn)故障且無法通信(F21)、防火墻與網(wǎng)絡(luò)平臺之間的網(wǎng)線出現(xiàn)故障且無法通信(F22)和智能工作站與智慧橋綜合導(dǎo)航系統(tǒng)之間的網(wǎng)線出現(xiàn)故障且無法通信(F23)均屬于網(wǎng)絡(luò)設(shè)備故障，故采取相同的控制措施；除了AIS設(shè)備故障或是與AIS之間線路出現(xiàn)故障(F310)、硬件損壞(F51、F52)，余下的故障模式采用相同的措施冗余設(shè)置。

表5 智能航行輔助決策系統(tǒng)的風(fēng)險控制措施

實(shí)施風(fēng)險控制措施后，需要再次對設(shè)備進(jìn)行風(fēng)險評估，以便檢驗(yàn)提出的風(fēng)險控制措施是否有效，評估結(jié)果，如表6所示。

從表6可以看出：智能工作站與網(wǎng)絡(luò)平臺之間的防火墻出現(xiàn)故障(F11),智能工作站與防火墻之間的網(wǎng)線出現(xiàn)故障、無法通信(F21)，防火墻與網(wǎng)絡(luò)平臺之間的網(wǎng)線出現(xiàn)故障、無法通信(F22)，智能工作站無法獲得雷達(dá)信號(F32)，智能工作站無法獲得GPS信號(F35)，智能工作站無法獲得Speed Log傳感器信號(F36)，智能工作站無法獲得GYRO傳感器信號(F37)，工作站異常斷電或意外關(guān)機(jī)(F52)在實(shí)施措施后由中風(fēng)險降低到了低風(fēng)險。智能工作站與智慧橋綜合導(dǎo)航系統(tǒng)之間的網(wǎng)線出現(xiàn)故障、無法通信(F23)，智能工作站主機(jī)出現(xiàn)故障、無法開機(jī)(F31)，智能工作站無法獲得海圖信息(F33)，智慧橋綜合導(dǎo)航系統(tǒng)出現(xiàn)故障、功能失效(F41)，電源供應(yīng)失靈或降低、設(shè)備關(guān)機(jī)(F51)的風(fēng)險等級從5降到了4。智能工作站無法獲得AIS傳感器信號(F310)是因?yàn)锳IS設(shè)備故障，船舶通常只配備一臺AIS，故障后維修較為困難，對于AIS故障暫且沒有好的改進(jìn)措施，故針對F310采取的改進(jìn)措施效果較差，這一現(xiàn)象符合預(yù)期。

表6 實(shí)施措施后危害性分析

進(jìn)一步對發(fā)生故障后實(shí)施措施前后風(fēng)險比較分析，如表7所示。

表7 發(fā)生故障后實(shí)施措施前后風(fēng)險比較

從表7可以看出：實(shí)施措施前后都沒有高風(fēng)險故障；實(shí)施措施后，故障風(fēng)險由14個中風(fēng)險降低為6個中風(fēng)險，由3個低風(fēng)險變?yōu)?1個低風(fēng)險。整體來看，風(fēng)險控制措施是有效的。

5 結(jié)束語

通過智能航行輔助決策系統(tǒng)的風(fēng)險識別和控制對策研究，應(yīng)用FMEA原理識別決策系統(tǒng)的風(fēng)險，對系統(tǒng)故障后的原因、影響進(jìn)行分析，并在故障后采用風(fēng)險矩陣方法評估系統(tǒng)風(fēng)險。實(shí)施改進(jìn)措施后，再次評估風(fēng)險，確定風(fēng)險控制措施。研究結(jié)果表明以下三點(diǎn)。

1)通過FMEA識別出17種故障模式，包含14種中風(fēng)險和3種低風(fēng)險等級的故障模式；對中風(fēng)險故障模式實(shí)施風(fēng)險控制措施后，8種故障模式從中風(fēng)險降為低風(fēng)險等級。

2)中風(fēng)險的故障可分為兩種，其一是硬件本身發(fā)生了故障，在船舶上采用冗余備份，可將中風(fēng)險故障降低為低風(fēng)險故障；其二是線路損壞，不影響船舶正常航行，采用冗余設(shè)計，可將中風(fēng)險故障降低為低風(fēng)險故障。

3)除了智能工作站無法獲得海圖信息(F33)，本系統(tǒng)故障對其他智能系統(tǒng)無影響，未發(fā)現(xiàn)影響綜合導(dǎo)航系統(tǒng)功能和船舶正常航行的風(fēng)險，對船舶的安全無影響。