《2022船舶自主航行检验指南.docx》由会员分享,可在线阅读,更多相关《2022船舶自主航行检验指南.docx(92页珍藏版)》请在三一办公上搜索。
1、船舶自主航行检验指南2022第1节一般规定5第2节适用范围5第3节知识产权及保密5第4节辅助航行6第5节自主航行7第6节设计运行条件10第7节术语及定义12第8节绵喀语14第2章图纸与资料审查16第1节一般规定16第2节总体说明17第3节功能说明18第4节主要组件说明18第5节布置及原理图19第6节安全理念19第7节制造商进行的试验与验证21第8节数据22第9节网络安全23第10节软件安全23第11节操作手册23第3章风险评估25第1节一般规定25第2节风险评估流程26第3节风险识别29第4节风险分析34第5节风险评价36第6节风险应对37第4章性能要求41第1节一般规定41第2节基础要求41
2、第3节动态任务44第4节人机交互50第5节应急操作51第6节数据记录52第7节网络安全和软件安全54第8节安全保障55第9节监控人员56第5章系统认可与试验技术要求58第1节一般规定58第2节认可及检验阶段58第3节原理认可59第4节设计认可60第6节单件/单批检验64第6章检验65第1节建造检验65第2节建造后检验66第7章实船测试70第1节一般规定70第2节测试场70第3节测试场景71第4节为达到测试目的而进行的修改72第5节测试工具72第6节试验报告73附录1建模与仿真74第1节一般规定74第2节文件资料审查74第3节可信度评估74附录2风险评估77第1节风险评估报告77第2节自主航行风
3、险关键因素80第3节辅助航行风险关键因素84第1章通则第1节一般规定1.1.1 本指南为中国船级社(以下简称“CCS”)智能船舶规范第二章“智能航行”中船舶自主航行系统的开发、应用、测试验证提出具体的技术要求,以保障具有自主航行功能的船舶满足性能要求,同时保证可靠性、安全性。1.1.2 为满足市场需求,在智能船舶规范规定的“智能航行”的基础上,将智能航行功能进一步细分,提出了辅助航行功能的要求。1.1.3 本指南为智能航行系统的认可及实船应用提出了验证及检验内容方法及程序要求。1.1.4 除本指南另有明文规定外,智能航行系统还应满足CCS相应的规范和船旗国主管机关的适用要求。第2节适用范围1.
4、2.1 本指南适用于对申请智能航行系统进行认可或装有智能航行系统的船舶进行检验。1.2.2 类似系统不申请认可/检验的,其性能标准可参考本指南适用部分。第3节知识产权及保密1.3.1 一般要求1.3.1.1 CCS按照钢质海船入级规范(2022)第1篇3.1.10.2的要求对申请方提交资料进行保密。131.2申请方应保证所有提交资料满足钢质海船入级规范(2022)第1第4节辅助航行1.4.1 辅助航行分类1.4.1.1 航路航速设计及优化功能是基础的辅助决策功能,航路航速设计优化相关要求不在本指南范畴,相关要求见智能船舶规范2.3.Io在实现该功能的基础上,进行对海洋环境、船舶运动状态、其他船
5、舶及航行障碍物的实时感知,并实现对传感器、海图等信息的融合显示,为驾驶人员提供更加高效的辅助航行信息展示。更进一步,实现航行态势、危险的实时判断,做出动态航线决策,这是另一类别的辅助航行。因此辅助航行功能可以分为以下两类:(1)增强显示类辅助航行(2)决策规划类辅助航行1.4.1.2 增强显示类的辅助航行主要功能为将雷达、AlS、光电传感器、运动感知设备等多源信息融合处理为辅助驾驶员进行决策的直观、可靠的综合信息,并以良好的展示和交互方式叠加在某一/多个显示终端,其主要显示终端包括视频显示终端、2D/3D环境重构显示终端、AR/VR显示终端、基于海图开发的显示终端等。1.4.1.3 决策规划类
6、的辅助航行除了对信息进行综合显示外,还可根据融合信息进行动态航行规划,为驾驶人员提供决策方案选择,并由驾驶人员最终控制船舶。第5节自主航行1.5.1 自主航行架构1.5.1.1 自主是指机器能够实现感知、认知、决策及对船舶或设备的控制,并安全、可靠地完成预期任务,无需人为干预,仅在特殊情况下进行接管控制。自主航行是指在具备辅助航行功能的基础上进一步,机器将决策信息输入控制机构,船舶就可以自主完成感知、认知、决策、控制等任务,见图1.5.1.10自主肮行itt及优化图1.5.1.1自主航行功能架构1.5.2 自主航行分级1.5.2.1 在从感知到控制的整个过程中,由于任务场景的变化和任务要求的提
7、高,自主航行功能的各项性能均大幅提升,见图152.1。自主航行功能按环境复杂度分级表1.521等级名称附加标志1开阔水域自主航行No2全航程自主航行Nn物斯大法升级用助ug主航行图1.521开阔水域与全航程自主航行功能关系1.5.3 人员参与程度分级1.5.3.1 对于已经具备自主航行功能的船舶,能够在收到航行指令后完成从感知、认知、决策到控制的整个过程。此时,船上人员的作用是监控船舶自主航行的状态,以确保在系统报警或请求接管以及任何紧急情况下时采用应急措施将风险降到最低。1.5.3.2 根据监控人员在航行过程中进行监视的周期对船舶的自主航行监控进行等级划分,见表153.2。自主航行监控等级划
8、分表153.2等级名称监视周期1连续值班人员在控制位置持续监视2周期性值班人员在控制位置周期性监视3无人值班无需在控制位置进行值班监视。在系统报警后监控人员应及时到达控制位置注:连续值班系指在自主航行功能运行过程中,监控人员必须在控制位置持续监视船舶运行状态。周期性无人值班系指在自主航行功能运行过程中,监控人员无须保持时刻在控制位置进行监视,而是根据说明书或实际情况进行周期性值班监视。无人值班系指无须人员在控制位置监视自主航行功能运行时船舶状态,监控人员仅需在系统发出报警或提出接管申请时及时到达控制位置。第6节设计运行条件1.6.1一般要求1.1.1.1 运行条件(ODC)是智能航行系统设计时
9、确定的适用于其功能运行的各类条件的总称,包括设计运行范围、驾驶人员状态及其他必要条件。1.1.1.2 具备智能航行功能的船舶应当确定设计运行条件,智能航行功能在满足设计运行条件时方允许开始运行。1.1.1.3 智能航行系统制造商应当识别合理的设计运行条件元素集合,并利用所选择的元素集合通过合理的构建方法,形成易理解、无歧义的设计运行条件表达方案,将各元素进行详细描述,并考虑多个元素的合理组合关系,使各利益相关者清楚了解智能航行系统的启动和运行条件。1.1.1.4 智能航行系统应监控当前的ODC,以使系统保持在设计和定义的ODC之内。在即将超出ODC边界的情况下,智能航行系统应能触发接管请求,并
10、考虑监控人员值班的不同情况,保证有足够的时间进行接管。1.6.2智能航行系统应确定设计运行条件,包括但不限于以下内容的边界:1.6.2.1 自然环境条件(1) 海况等级;(2) 水深;(3) 能见度(雾、雪、降雨等);(4) 海冰;(5) 航行区域(开阔水域、进出港、码头等)。1.6.2.2 通航条件(1) 目标船数量;(2) 目标船种类;(3) 航道障碍物情况;(4) 限制航速;(5) 分道通航情况;(6) 航行方向;(7) 限制航行区域:施工、事故等其他限制。(8) 进出港航道障碍物。(适用于全航行智能航行船舶)1.6.2.3 本船操纵和装载情况(1) 装载工况;(2) 操纵性能。2.6.
11、2.4 码头条件(适用于全航程自主航行船舶)(1) 码头停船情况;(2) 码头空余长度;(3) 码头水深情况;(4) 码头附近一定范围是否存在船舶及其他碍航物;(5) 具备码头高精度先验海图。2.6.2.5 软硬件(1)海图版本;(2)软件版本;(3)硬件性能;(4)软硬件失效;(5)硬件在船上的安装及布置。第7节术语及定义1.7.1 硬件(hardware):用于处理、存储或传输计算机软件或数据的物理设备。1.7.2 软件(software):计算机编码、程序、测试脚本以及与计算机系统操作有关的相关文档和数据。1.7.3 自主航行系统(autonomousnavigationsystem):
12、自主航行系统系指利用感知技术获取所需数据和信息,通过信息融合等计算机技术进行分析和处理,为船舶的航行提供行动决策,并按照决策实现船舶自主控制的所有软硬件的集合。1.7.4 辅助航行系统(navigationassistancesystem):辅助驾驶系统系指利用感知技术获取所需数据和信息,通过信息融合等计算机技术进行分析和处理,为船舶的航行提供导航辅助决策的所有软硬件的集合。1.7.5 智能航行系统(intelligentnavigationsystem):自主航行系统与辅助航行系统的总称。1.7.6 设计运行条件(Operationaldesignconditions=ODC):自主航行功能
13、生效的条件及适用范围。1.7.7 动态任务(dynamictask):智能航行系统根据环境及其他实时信息的感知融合后进行决策或决策与控制的任务,不包括航路设计等静态任务。1.7.8 场景(scenarios):系指自主航行船舶航行时所处的地理区域、自然环境、会遇态势和时间等要素的集合。1.7.9 开阔水域(OPenWaterarea):船舶有足够水域进行船舶采用安全航速进行改向避让的开阔海面,一般不位于港口、锚地等复杂环境附近。1.7.10 仿真测试(SimUlationteSts):采用仿真工具部分或全部替换被测系统及信息源,以验证被测系统部分/全部功能及性能的测试。1.7.11 确认(va
14、lidation):评估产品的过程,通过测试、分析、检查或演示以确定其是否满足客户和其他利益相关者的期望。1.7.12 验证(VerifiCatiOn):评估系统的过程,以确定给定开发阶段的产品是否满足批准的要求,并可通过测试、分析、演示或检验在产品生命周期的不同阶段进行控制。1.7.13 安全理念(safetyconcept):在智能航行功能设计时采取的安全措施,以使船舶在与ODC相关的场景中运行时无不合理的风险。1.7.14 可靠性(reliability):系统或部件在一定条件和时间范围内控制特定功能的能力。1.7.15 感知信息源:系指为感知系统提供所需信息的传感器或其他设备。感知信息
15、源可能包括雷达、自动识别系统、卫星定位系统、罗经、电子海图、航速及计程仪、测深仪、吃水测量仪、风速风向仪、视觉传感器、温度传感器、降水量传感器、惯性加速度传感器及通讯设施等。1.7.16 态势感知(SitUatiOnaIaWareness):态势感知是船舶利用传感器及智能融合算法对多种信息(自然环境信息、自身运动信息、其他船舶信息)的感知以及对感知信息的融合处理并生成航行态势信息。1.7.17 自主决策(autonomousdecision):根据态势感知信息,分析当前船舶存在的风险,结合当前船位、航速、航向制定局部航路及航速决策,避让可能发生危险的机动或非机动水面障碍物。1.7.18 自主控
16、制(autonomouscontrol):根据自主决策系统制定的局部航行决策利用智能控制技术,保证船舶快速、准确、稳定地控制决策。1.7.19 运行模式(OPerationmode):自主航行船舶可能存在的多种运行模式。(1) 自主航行模式:自主航行模式下由船舶自主完成航行任务,船上人员监视船舶航行状态,必要时船上人员可随时介入并获取船舶驾驶控制权。(2) 人员驾驶模式:自主航行系统未运行,完全由人员进行船舶驾驶。1.7.20 控制位置(Controlstalion):能够进入/退出自主航行系统并能应急介入由人工控制船舶推力方向和大小的位置。1.7.21 本船(OWnShip):为申请开阔水域
17、自主航行测试,按照本指南要求进行自主航行能力评估的船舶。1.7.22 目标船(targetship):在本船周围6nm范围内的机动、受限或漂浮船舶。1.7.23 监控人员(supervisor):决定自主航行系统的启动和关闭,在自主航行系统运行时进行监视,必要时切换船舶运行模式并紧急控制船舶的人员。1.7.24 会遇态势(encountersituation):按照国际海上避碰规则划分的船舶会遇态势,包括对遇、追越/被追越、交叉相遇。1.7.25 综合显示(integrateddisplay):将感知信息、决策信息展示在屏幕或其他设备上,以供监控人员查看。1.7.26 测试场(testarea
18、):具有足够范围的开阔水域,交通密度满足试验条件或可以进行交通管制的一个区域。具备进行自主航行船舶测试的所有设备、设施及安全辅助船舶。第8节缩略语1.8.1 本指南中使用的缩写见表1.8.1。缩略语表1.8.1序号缩写含义1ODC设计运行条件2DQ数据质量及安全3SS软件安全及可靠性4CS网络安全5SR系统可靠性6PA原理认可7DA设计认可8TA型式认可9SS船舶检验第2章图纸与资料审查第1节一般规定2.1.1 一般要求2.1.1.1 申请智能航行系统认可或船舶附加标志检验的应当向CCS提交图纸及资料,说明系统及船舶在ODC范围内运行无不合理的风险。2.1.1.2 申请智能航行系统认可或船舶附
19、加标志检验的应向CCS提交表2.1.1.2中适用的图纸与资料。智能功能图纸与资料审查范围及类型表2.1.1.2序号图纸资料PADATASS1系统总体说明DADADADA2系统功能说明DADADADA3系统组件说明DADADADA4系统布置及原理图DADADADA5系统安全理念说明书DADADADA6制造商进行试验及验证报告DNDND/SN7数据记录(实船试验及运行阶段)DND/SN8网络安全说明DNDNDN9软件安全说明DNDNDN10操作手册DNDN11质量管理体系相关文件DNDNDN12型式试验大纲D/SAD/SA13实船试验大纲SA注:1)提交阶段:审图D、检验So2)审查类型:批准A、
20、备查No2.1.2审查依据2.1.2.1 CCS钢质海船入级规范第1篇第3章、第7篇第2章。2.1.2.2 CCS船舶网络系统要求及安全评估指南。2.1.2.3 CCS船舶网络系统要求及安全评估指南。2.1.2.4 CCS智能船舶规范第2章及本指南。第2节总体说明2.2.1 智能航行系统识别信息2.2.1.1 提交总体说明文件说明智能航行系统型号、版本等识别信息及识别方法。2.2.2 ODC说明2.2.2.1 智能航行系统制造商应对ODC进行验证,并向CCS提交验证结果文件资料(含程序、方法、数据、模型、结果、解释和备注)。2.2.2.2 智能航行系统的ODC应包含本指南1.6规定的适用的内容
21、以及其他制造商规定的边界条件。2.2.3 系统性能说明2.2.3.1 智能航行系统能够达到的本指南第4章规定的性能要求。2.2.4 系统安全保证措施2.2.4.1 智能航行系统进入或停用的方法。2.2.4.2 在智能航行系统运行过程中,监控人员应采取的一切措施,以确保安全。第3节功能说明2.3.1 系统功能(功能架构)2.3.1.1 应说明智能航行系统的所有功能,包括保证系统可靠性及安全运行的逻辑以及执行ODD内动态任务的方法和系统设计的边界条件。并说明以上功能是如何得到保证的。2.3.1.2 所有输入变量和感知变量的清单,以及变量的范围,并说明这些变量对智能航行系统行为的影响。2.3.1.3
22、 智能航行系统各功能运行的限制及边界。2.3.2 人员接管2.3.2.1 当系统接近ODC边界并最终超出ODC边界时的人员交互原则。说明系统向监控人员发出支持/接管请求的类型列表、请求的执行方式、请求失败的处理程序和降低风险的措施,说明系统发出的信号和信息。第4节主要组件说明2.4.1 组件清单2.4.1.1 提供智能航行系统组件清单,以及为实现系统功能所需的相关船上其他系统或设备。2.4.2.1 单元是指系统组件的最小划分。每个单元应能够清晰明确地识别(通过硬件、软件标记等)并说明识别方法。2.4.2.2 应提供智能航行系统每个单元的功能说明,并说明各单元之间及各单元与船上其他系统的连接方式
23、。2.4.3系统组件的安装2.4.3.1 制造商应提供系统组件安装要求,包括:(1)位置;(2)姿态;(3)组件安装位置周围的结构、材料性质及其尺寸和几何形状;(4)安装允许公差。第5节布置及原理图2.5.1 系统布置示意图(结构图等)2.5.1.1 应提供系统组件的布置及连接方式说明及图纸。包括感知、认知、决策、控制(如适用)装置,海图及定位装置,数据记录装置,智能航行系统与船上其他系统或设备的连接和交互等的说明及图纸。2.5.2 组件的连接示意图2.5.2.1 智能航行系统内部电路、气动或液压船东设备的管路图及机械连接示意图,以及与其他系统之间的传输链接示意图。第6节安全理念船舶安全通过设
24、计、开发中的相关措施进行保证的方法和理念。2.6.2 制造商声明2.6.3 制造商应声明,确认智能航行系统装船后不会对人员、本船及其他船舶、环境等产生不合理的风险。2.6.4 软件说明对于智能航行系统中使用的软件(包括算法)应进行详细说明,包括所使用的设计方法和工具。制造商提供有关智能航行系统各功能及逻辑在设计和开发过程中实现方式的证明。2.6.5 安全设计规则2.6.5.1 制造商应提供智能航行系统设计规则说明,并通过履行该规则确保功能和操作安全。安全设计规则包括但不限于:(1)系统组件的冗余设计;(2)执行相同功能的系统多样性设计;(3)系统功能的限制。2.6.5.2 若采用冗余设计,应解
25、释转换机制的原理、冗余的逻辑和水平、检查机制以及限制条件。2.6.6 应急操作2.6.6.1 制造商应对智能航行系统安全操作措施(如人员接管等)进行详细说明。2.6.7 风险缓解2.6.7.1 制造商应解释智能航行系统减轻或者避免事故风险的方法。2.6.7.2 该方法应当基于系统安全的风险评估,并将风险评估报告纳入安全理念说明,风险评估可按本指南第3章进行,风险评估报告参考附录Io2.6.7.3 该方法可以基于FMEAFTA、STPA或任何基于系统功能和操作安全的类似过程。2.6.7.4 制造商应提供测试及验证(例如SIL、HIL.试验船测试或者任何其他测试)报告,包括适当的验收衡准。能够证明
26、智能航行系统运行时不会比人工驾驶时产生更大的风险。2.6.7.5 应当包含以下内容:(1)智能航行系统与船舶其他系统或设备的交互风险;(2)智能航行系统的失效风险;(3)由于运行故障,在ODD范围内,智能航行系统可能产生不合理的安全风险的情况(例如监控人员的误解、控制能力降低、特殊的场景等);(4)执行动态任务的决策过程中的风险;(5)监控人员的错误或人员故意篡改;(6)网络安全风险;(7)缺乏维护等。第7节制造商进行的试验与验证2.7.1 一般要求2.7.1.1 为了保证智能航行系统的安全,设计和开发过程中采用的仿真、实船测试等方法进行系统验证,相关试验应满足本指南要求。2.7.1.2 制造
27、商应在设计和开发阶段至少进行设计运行条件内不同场景(至少包括7.3.1要求的全部场景)要素的参数组合,验证智能航行系统是否符合安全要求。2.7.2 文件2.7.2.1 制造商应根据本指南要求进行设计及开发中的试验与验证,并将以下文件提交审核。(1)方法概述;(2)使用的场景;(3)试验及验证使用的方法和工具;(4)试验及验证结果说明;(5)结果不确定性说明;(6)结果的解释及制造商声明。2.7.3 测试报告2.7.3.1 仿真测试验证报告,包含附录1第2节内容。2.7.3.2 实船测试报告。第8节数据2.8.1 一般要求2.8.1.1 制造商按照4.6的要求提供文件,包含如下内容:(1)数据存
28、储格式;(2)数据存储位置;(3)数据存储空间计算说明;(4)储存的事件及数据元素说明;(5)数据安全保护说明;(6)数据访问方法。第9节网络安全2.9.1 网络安全系统说明2.9.1.1 按照CCS船舶网络系统要求及安全评估指南进行的网络安全设计及提交该指南要求的图纸资料。第10节软件安全2.10.1 软件安全及可靠性说明2.10.1.1 按照CCS船用软件安全及可靠性评估指南进行的软件安全设计及提交该指南要求的图纸资料。第11节操作手册2.11.1 一般要求2.11.1.1 制造商应编制系统操作手册,本手册的目的是向船长、监控人员及监管机构提供详细的说明,以保证智能航行系统及船舶安全运行。
29、2.11.1.2 操作手册除了提供CCS备查外,还应提供给船东、船舶管理公司、船上监控人员及监管机构。2.11.2 手册要求2.11.2.1 操作手册应包含以下内容。(1)操作手册应包含智能航行系统的功能说明。(2)操作手册应包括确保智能航行系统运行期间所必需的技术措施(如智能航行系统及船舶其他系统或设备的检查和维护)。(3)操作手册应包含设计运行条件的详细说明。(4)操作手册应包含操作限制(例如航速限制等)。(5)操作手册应包含智能航行船舶的失效说明,以及其他任何必要的系统说明。(6)操作手册应包含智能航行系统运行过程中的维护、检查及试验的规定。第12节质量管理体系2.12.1 管理体系文件
30、2.12.1.1 参考ISO9001指定的管理体系,应提交文件化的质量管理体系说明,包括质量手册、程序文件、作业指导书、报告报表等。第3章风险评估第1节一般规定3.1.1 船舶智能航行风险评估应确认包括感知、决策和控制环节的风险等级,应分析智能航行功能失效模式及其对人员、船舶和环境的影响,船舶系统、设备失效及其对智能航行功能的影响。3.1.2 智能航行功能的风险评估应在试航、交付使用前完成,报请CCS进行或委托符合CCS要求的第三方进行,第三方风险评估应按本规则风险评价章节要求,如附录2,编制智能航行船舶风险评估报告,并提交CCS审核。3.1.3 风险评估将作为智能航行系统设计、开发的前提,纳
31、入安全理念。3.1.4 风险评估以现行国际海事公约、规则要求的安全环保水平为衡准,至少应综合考虑危险发生的可能性(频率)、潜在后果、事故风险等。3.1.5 实船试航期间应持续评估自主航行试验船舶的安全性,超过安全限制时应暂停或停止试验,试验相关方包括但不限于以下(如适用):(1)船舶操作人员;(2)试验场;(3)海事主管当局;(4)沿岸国主管当局;(5)港口国主管当局;(6)港口与码头方;(7)船舶交通管理中心(VesselTrafficServices,简称VTS);(8)搜救中心;1.1.1 试验相关服务商。3.1.6 风险评估报告包括:(1)拟进行评估的功能、模块或系统;(2)评估方法的
32、说明;(3)评估的适用范围;(4)参与评估的专家、人员,及其专业背景;(5)评估所采用的风险矩阵及风险评估验收标准;(6)风险管控对象次序表;(7)风险控制措施。3.1.7 风险评估方法应适用于所评估的对象,可参考CCS船舶综合安全评估应用指南。3.1.8 风险评估报告具有统一的形式,报告可参考附录2.1的格式进行编写。第2节风险评估流程3.2.1 智能航行功能的风险评估由四个步骤组成。图3.2.1智能航行风险评估流程3.2.1.1 风险识别应充分且详尽地识别智能航行中可能面临的危险事件和/或相关风险因素。3.2.1.2 风险分析应对智能航行中危险事件发生的可能性和后果严重程度进行分析。3.2
33、.1.3 风险评价应采用合理的方法度量智能航行中危险事件的风险水平。3.2.1.4 制定风险控制措施(含方案)以降低智能航行风险。3.2.2 智能风险评估四个步骤可依次进行,也可根据实际情况和需求选择若干步骤依序进行;风险评估步骤确定后可重复进行,直到风险识别充分且详尽、风险可接受。图3.2.2智能航行风险评估框架3.2.3 数据和信息3.2.3.1 客观数据可以通过智能航行现场观测、历史数据分析等途径获取;当缺少客观数据时,可通过专家判断、物理模型、数值模拟、数字李生等效替代来获得有价值的结果,以对客观数据进行补充。3.2.3.2 智能航行风险评估所需的数据可包括危险事件和操作故障的可靠性数
34、据、维修工作单和运行记录、内部报告文件以及行业公告等。323.3智能航行风险评估在缺少相关客观数据的情况下,需要专家依据各自的经验进行专家判断:(1)专家判断可能存在于风险评估的不同阶段,比如风险识别、风险后果的估计、风险控制方案的提出等;(2)专家判断数据具有相当的应用价值,但存在判断不一致的情况,可通过对统计分析、数据融合等方法提高数据的有效性,并应说明数据的不确定性。(3)采用专家判断时,应提供涉及不同领域的所有必要的专家,需要对智能船舶风险评估中专家判断的一致性进行说明,可参考CCS船舶综合安全评估应用指南。3.2.4 风险度量标准3.2.4.1 船舶智能航行风险识别结果根据危险发生的
35、可能性(频率)与后果严重程度的组合获得。3.2.4.2 风险等级可以用风险矩阵表征,通过建立概率和后果的评估结果与风险矩阵中标准化概率指数和后果指数之间的映射关系,将风险评估结果运用风险矩阵进行表达。324.3船舶智能航行风险度量标准,可参考CCS船舶综合安全评估应用指南。3.2.5人为因素3.2.5.1 在船舶智能航行风险评估中应系统考虑人为因素,将其与危险的发生频率、深层原因和影响联系起来。3.2.5.2 可采用人因可靠性分析方法(HRA)将人为因素纳入智能航行风险评估过程,可参考CCS船舶综合安全评估应用指南。第3节风险识别3.3.1 一般要求3.3.1.1 风险识别的目的是确定可能影响
36、智能航行的各种危险情景及其相关的风险因素。3.3.1.2 一旦风险得以识别,应对现有的控制措施(诸如设计特征、人员、过程和系统等)进行识别,以便对主要风险进一步分析和提出相应的风险控制方案。3.3.1.3 风险识别过程包括识别那些可能对智能航行产生影响的风险源、影响范围、事件及其原因和潜在的后果,以及可能导致危险情景发生的风险因素。3.3.2 风险识别流程发生发率初析(FI)事故后果初析(SI)R立风哈识别工作绢一定风玲识别的亮限收集数僵处信息识别海在风险(危嚎情最)事故情识别风修因素识别图3.3.2智能航行风险识别流程1.3.2.1 风险识别对象通常按功能划分,包括但不限于:(2) 航行状态
37、,其风险包括但不限于:G交通拥挤;天气恶劣或不可预见事件;与其他船舶或近海基础设施碰撞;与浮动物体碰撞;5)与海洋野生动物相撞;6)与陆上基础设施碰撞或系泊过程失败;G完整稳性损失。(3) 场景感知,其风险包括但不限于:T)周边目标检测失效;他船信号检测失效;未能发现天气预报与实际天气情况之间的差异;:为未能发现海图和测深水深之间的差异;)码头泊位检测失效。(4) 通信与信号,其风险包括但不限于:D通信带宽不足;2.|通信延迟;T)通信失败;3)受到信号干扰或遮挡;数据完整性不够。(5) 控制权限及转换,其风险包括但不限于:Ti控制权限转换失败;2)控制模式设置错误。(6) 网络安全,其风险包
38、括但不限于:T)网络入侵;网络病毒;网络安全失效。332.2 通过分析船舶智能航行风险评估涉及的危险(含事故险情)发生的可能性(频率)和后果严重程度的定性或定量分析,结合风险评估标准(见1.2.4节),对风险水平进行排序,并选取高风险的危险事件开展风险分析。332.3 船舶智能航行潜在后果包括但不限于:(1)碰撞(包括航行、进出港、靠离泊、锚泊过程中的碰撞、触碰、撞击);(2)搁浅;(3)倾覆;(4)断裂;(5)火灾/爆炸;(6)浪损;(7)靠离泊失败;(8)锚泊锚位选择不当;(9)无法出锚/刹车失灵;(10)走锚;(11)锚链断裂/锚丢失;(12)锚链无法回收;(13)他船走锚;(14)货物
39、变质;(15)货物移动/液化;(16)货物火灾;(17)油污泄漏;(18)废气违规排放;(19)压载水泄漏;(20)海盗/恐怖袭击;(21)未经授权人员进入/劫持;(22)通信失效/中断/延迟;(23)动力/电力中断;(24)消防系统失效;(25)航向失控;(26)动力失效。3.3.2.4功能或系统失效后果的等级可按照失效后对人员、船舶和环境的影响程度进行划分,见表3.3.4.2o失效后果等级划分表334.2等级失效后果典型失效1不会对人员、船舶和环境构成危险传感器损坏但冗余设备立刻投入运行;综合显示设备失电,但UPS投入使用;G)数据记录功能失效2会对人员、船舶和环境构成较危险,但有充分的时
40、间进行规避m电子海图未更新,但船舶未开航;Q应急切换功能失效,但态势感知模块显示附近无其他船舶;Q报警功能失效,但态势感知模块显示附近无其他船舶3会对人员、船舶和环境构成较小危险,且无充分的时间进行规避1未识别到海面漂浮的小体积碍航物,但将要驶il:2综合显示设备失电;航行于开阔水域,电子海图失电4会对人员、船舶和环境构成较大危险,且无充分的时间进行规避TODC判断功能失效;:决策和控制模块失效,且态势感知模块显示存在碰撞危险船舶;3:1靠泊过程中,首向控制失效;进出港过程中,自主航行偏离航道;航行过程中动力失效。第4节风险分析3.4.1 目的和范围3.4.1.1 风险分析是在风险识别的基础上
41、,针对所识别出的智能航行中的关键风险进行详细分析,并为风险评价提供输入。3.4.1.2 风险分析包括危险(含事故险情)发生的可能性、后果发生的可能性、后果的严重性分析等,并结合风险度量标准确定风险等级(一个危险可能产生多个后果,从而可能影响多重目标)。3.4.2 风险分析流程凤酸识别结累前期港昔的雄事故情景定义初始,件)收箧债加信息绪豪事件分新(若干)事故情景化分G谆估结束事件发生更率图3.4.2智能航行风险分析流程3.4.2.1 智能航行风险分析是在风险识别的基础上,针对关键危险(事故情景)开展频率分析、后果分析和风险估计等方面的工作。342.2频率分析是在明晰危险情景演化的基础上,对风险传
42、播过程中涉及的中间事件和结束事件发生的可能性进行估计。3.4.2.3 危险(含事故情景)的发生可能会对人、船舶或环境产生一系列不同严重程度的影响,后果分析需要确定风险影响的性质和类型,包括:(1)轻微后果、高概率;(2)严重后果、低概率(如黑天鹅事件);(3)以上两种情况的若干中间状况。3.4.2.4 风险估计需要综合考虑危险情景发生的可能性和后果严重性,不能仅考虑频率分析和后果分析结果的聚合值:(1)在某些情况下,应关注具有潜在严重后果的风险,因为这些风险往往是管理者最关心的;(2)在其它情况下,同时分析具有严重后果和轻微后果的风险可能也是重要的(如频繁而轻微的问题可能具有很大的累积效应)。
43、第5节风险评价3.5.1 风险评价是在风险分析(步骤2)的基础上,包括将风险分析的结果与预先设定的风险准则相比较,或者在各种风险的分析结果之间进行比较,来确定风险的等级,以便制定相应的风险控制方案/措施。3.5.2 风险评价流程风险分析钻殖评价彩风船的美因H图3.5.2智能航行风险评价流程3.5.2.1 风险评价是在风险分析的基础上,结合具体的风险度量标准,评价风险是否可接受,并针对不可接受的危险情景分析关键影响因素,如图5所示。3.522风险度量标准应在风险评价实施前确定,不应受到风险评价结果的影响。3.5.2.3建议对风险不可接受的危险情景,通过敏感性分析等方法,评价影响危险情景的关键因素
44、,以便制定更有针对性的风险控制措施。第6节风险应对1.1 .1一般规定1.1.1.1 智能航行船舶应开展风险评估并采取适当措施将风险降低,以达到现行国际公约规则或国内法律法规等要求的安全环保水平。1.1.1.2 应当在智能航行功能的概念、设计、制造、装船、实船运行的整个阶段中应用风险评估,确保所开发功能、模块的安全、可靠。1.2 .2风险控制措施3.621 风险控制方案既要解决原存在的风险,也要考虑由于新技术或更新的操作方法所面临的新风险。3.622 风险控制措施制定可考虑以下方法:(1)通过改进设计、程序优化、组织合理化、加强培训等措施减少事故发生的频率;(2)减轻故障的影响,预防事故发生;(3)改善可能发生事故的环境条件,以避免事故发生;(4)减轻事故造成的后果。3.6.2.3风险控制措施评估应充分考虑技术可行性、成本、效益、风险降低等因素。3.6.2.4风险控制措施成本是指由于采取相关风险控制方案而增加的成本,可考虑以下方面:(1)购买新设备的费用(投资成本);(2)重新设计和建造的费用;(3)培训费用;(4)检验、维护和演习的费用;(5)审核的费用;(6)停航所造成的损
