智能航行輔助決策系統風險評估及控制措施研究

孫 旭， 蔡玉良， 于 淳

(中國船級社科創試驗中心， 北京 100007)

隨著人工智能與大數據技術的發展，智能船舶在國內外船舶領域獲得了廣泛關注。2016年，英國羅爾斯·羅伊斯的“AAWA項目”提出了無人駕駛船舶的研究技術與方案；2017年，我國發布了《新一代人工智能發展規劃》，明確提出要大力發展無人船。智能船舶逐步成為航運業未來的重要發展方向。智能航行輔助決策系統作為智能船舶的重要組成部分，率先得到了開發和試驗。作為船舶領域的新系統，有必要對智能船舶輔助決策系統的風險進行研究[1]，以避免智能船舶事故的發生。

國內外學者圍繞智能船舶及其風險管理技術開展了一些研究。嚴新平[2]闡述了智能船舶研究的現狀、關鍵技術和發展趨勢，對完善智能船舶發展提出了研究建議。Goerlandt[3]引用風險治理框架開展智能船舶研究，依據智能船舶的主要風險特征對其自治程度進行分類，深入分析了智能系統生成的風險應對策略。范存龍等[4]通過構建VBPO-HSET模型，對海上自主水面船舶進行航行風險識別，并梳理了具體的風險因素。Wróbel等[5]應用基于假設分析的框架，評估了智能船舶與傳統船舶的事故率和事故后果。嚴松等[6]結合港作拖輪的航行和作業特點，探討性地設計了適用于拖輪的智能航行系統。郭鹍等[7]選用ROS機器人操作系統作為基礎框架，通過消息機制相關聯，完成場景識別、目標融合和自主學習，形成了新一代的智能船舶航行系統。Wibowo等[8]提出了在不確定性條件下，用于輔助航行船舶評估和選擇的船舶智能決策支持系統。Banda等[9]提出了針對智能船舶系統早期設計階段的詳細危害分析和管理過程，為智能船舶的設計提供了連貫、透明和可追溯的安全信息。

上述關于智能船舶風險管理和船舶智能系統設計的研究，對于智能船舶的發展有極大的推動作用，但對船舶智能系統故障的影響、原因以及控制措施未進行深入研究。FMEA方法在智能船舶系統風險識別及控制方面具有較高的適用性。竹建福等[10]提出將FMEA方法應用于智能船舶上，重點在于評估船舶系統風險；Jerzy[11]運用FMEA方法，分析動態定位船舶推進系統的故障和應對方法，但均未考慮使用FMEA分析船舶系統潛在危險。

本文采用FMEA方法、風險矩陣方法，對智能航行輔助決策系統可能發生的故障模式、原因和風險程度進行研究，并在此基礎上針對部分風險等級較高的故障模式提出了風險控制措施。

1 研究方法

1.1 研究步驟

本文基于綜合安全評估的思想，采用FMEA和風險矩陣相結合的方法，對智能航行輔助決策系統進行風險識別和風險評估研究，并在此基礎上提出風險控制對策研究，如圖1所示。

圖1 研究思路

智能航行輔助決策系統風險分析主要包含以下3個步驟。

1)風險識別。采用FMEA方法，對智能航行輔助決策系統可能發生的故障模式進行識別，并對故障的產生原因和可能造成的影響進行分析。

2)風險評估。結合風險矩陣對智能航行輔助決策系統故障的發生頻率和后果進行分析，并在此基礎上進行風險評估研究。

3)風險控制措施。根據智能航行輔助決策系統的風險評估輸出結果，針對風險等級較高的故障模式提出風險控制措施。

1.2 FMEA

FMEA是一種風險識別方法，主要用來識別組件/系統各部分所有潛在的故障模式、故障產生的原因、故障對系統的影響、如何避免故障或減弱故障對系統的影響，以提升組件/系統的可靠性和穩定性。FMEA已經在科學儀器[12-13]、高端裝備[14-15]和汽車產品[16-17]等領域得到了廣泛的應用。

本文使用FMEA方法對智能航行輔助決策系統可能存在的故障模式進行識別，并對各個故障模式產生的原因和可能造成的影響進行分析。

1.3 風險矩陣

風險矩陣(Risk Matrix，RM)是一種風險可視化方法，運用圖示清晰地表達概率、后果和兩者綜合影響的風險值，其廣泛應用于石油化工、交通運輸等領域。

風險評估結果常常通過建立概率和后果的評估結果與風險矩陣中標準化概率指數(Probability index, PI)和后果指數(Consequence Index, SI)之間的映射關系，將風險評估結果運用風險矩陣進行表達，如表1所示。

表1 風險矩陣

1.4 風險控制措施

風險控制措施一般是在風險評估的基礎上，針對高風險/重要事故情景所提出的單一/組合風險應對手段。風險控制措施可以考慮從以下幾個方面提出：①通過改進設計、優化程序、組織合理化、加強培訓等措施減少事故發生的頻率；②減輕故障的影響，預防事故發生；③改善可能發生事故的環境條件，降低事故發生及其后果發生的可能性；④減少事故造成的后果。

2 智能航行輔助決策系統

智能航行輔助決策系統是船舶航行中自動采取安全措施、保障船舶航行安全的系統，旨在減少智能船舶在航行中發生事故的風險，保證人員和財產安全。智能船舶的航行輔助決策系統主要由5個部分組成，如圖2所示。

圖2 智能航行輔助決策系統的組成

1)防火墻

防火墻是智能航行輔助決策系統的重要組成部分，它主要是利用智能工作站安全傳輸航行數據。防火墻如果故障，會影響智能工作站的航路優化功能及光電觀察功能。

2)網絡

網絡是智能航行輔助決策系統中的靈魂。它包括網絡平臺和網線，是智能航行輔助決策系統能否正常運轉的關鍵。其中，網絡平臺出現故障后，智能航行輔助決策系統將無法傳輸任何信息，航路優化功能失效；網線是智能航行輔助決策系統中的物理因素，它支持著網絡平臺和防火墻的正常運行。

3)智能工作站

智能工作站是智能航行輔助決策系統的大腦，它負責調度船舶的航行方向、船速、避碰等。它能接受AIS、雷達、海圖信號、視頻信號、GPS、氣象文件等各種航行所需要的數據，幫助船舶規劃航線和輔助避碰。一旦智能工作站發生故障，船舶將難以正常航行。

4)智慧橋綜合導航系統

智慧橋綜合導航系統是智能航行輔助決策系統的搬運工，它的工作是將智能工作站的數據傳輸給船舶，同時將船舶的航行數據傳輸給智能工作站。它如果出現故障，會對智能工作站的正常運轉產生影響。

5)電源

電源是智能航行輔助決策系統的生命，它決定了船舶的輔助系統能否正常工作。如果電源發生故障，智能工作站的所有功能將失效，無法正常工作。

3 風險識別與評估

根據1.1節所述的研究步驟，對智能船舶輔助決策系統進行風險識別與風險評估研究。

3.1 風險識別

采用FMEA方法，對智能航行輔助決策系統可能發生的故障模式進行分析，識別結果如表2所示。

從表2可以看出：智能航行輔助決策系統面臨17種故障模式；智能工作站(E3)可能會發生10種故障模式，網絡(E2)存在3種故障模式，電源(E5)存在2種故障模式，防火墻(E1)和智慧橋綜合導航系統(E4)各存在1種故障模式。

表2 智能航行輔助決策系統中的故障模式分析

在識別故障模式的基礎上，進一步對智能航行輔助決策系統17種故障模式產生的原因和可能造成的影響逐一分析，如表3所示。

表3 智能航行輔助決策系統中的故障原因和影響分析

從表3可以看出：通過FMEA方法分析表明智能航行輔助決策系統故障由11種原因造成。其中，智能工作站與網絡平臺之間的防火墻出現故障(F11),智能工作站主機出現故障、無法開機(F31)，智慧橋綜合導航系統出現故障、功能失效(F41)—智能工作站異常斷電或意外關機(F52)的故障原因是硬件損壞；智能工作站與防火墻之間的網線出現故障、無法通信(F21)—智能工作站與智慧橋綜合導航系統之間的網線出現故障、無法通信(F23)的故障原因是線路損壞；智能工作站無法獲得雷達信號(F32)—智能工作站無法獲得AIS傳感器信號(F310)的故障原因是智能工作站的主要航海儀器損壞。

在所有故障原因中，除海圖工作站故障(F33)，其他故障原因不會影響船舶的正常航行。不影響智能工作站功能的故障原因有智能工作站無法獲得Speed Log傳感器信號(F36)—智能工作站無法獲得AIS傳感器信號(F310)，其他故障均能讓智能工作站的功能失效。根據不同故障對系統內外的影響程度，可以得出海圖工作站故障(F33)在系統運行過程中需要重點監管和防范。

3.2 風險評估

在智能航行輔助決策系統風險識別的基礎上，采用1.3節所述的風險矩陣方法，對17種故障模式發生的可能性、可能造成的后果進行分析，并在此基礎上對智能航行輔助決策系統中的潛在風險進行評估，如表4所示。

表4 智能航行輔助決策系統的風險評估

從表4可以看出：智能工作站與網絡平臺之間的防火墻出現故障(F11)—智能工作站無法獲得海圖信息(F33)、智能工作站無法獲得GPS信號(F35)—智能工作站無法獲得GYRO傳感器信號(F37)、智能工作站無法獲得AIS傳感器信號(F310)—智能工作站異常斷電或意外關機(F52)為中風險的故障模式；智能工作站無法獲得視頻信號(F34)、智能工作站無法獲得計程儀傳感器信號(F38)和智能工作站無法獲得風速風向儀傳感器信號(F39)為低風險的故障模式。

4 風險控制措施研究

針對表4中分析出的14個中風險等級的故障模式，開展風險控制措施研究，如表5所示。

從表5可以看出：14種故障模式有著不同的風險控制措施，由于智能工作站與防火墻之間的網線出現故障且無法通信(F21)、防火墻與網絡平臺之間的網線出現故障且無法通信(F22)和智能工作站與智慧橋綜合導航系統之間的網線出現故障且無法通信(F23)均屬于網絡設備故障，故采取相同的控制措施；除了AIS設備故障或是與AIS之間線路出現故障(F310)、硬件損壞(F51、F52)，余下的故障模式采用相同的措施冗余設置。

表5 智能航行輔助決策系統的風險控制措施

實施風險控制措施后，需要再次對設備進行風險評估，以便檢驗提出的風險控制措施是否有效，評估結果，如表6所示。

從表6可以看出：智能工作站與網絡平臺之間的防火墻出現故障(F11),智能工作站與防火墻之間的網線出現故障、無法通信(F21)，防火墻與網絡平臺之間的網線出現故障、無法通信(F22)，智能工作站無法獲得雷達信號(F32)，智能工作站無法獲得GPS信號(F35)，智能工作站無法獲得Speed Log傳感器信號(F36)，智能工作站無法獲得GYRO傳感器信號(F37)，工作站異常斷電或意外關機(F52)在實施措施后由中風險降低到了低風險。智能工作站與智慧橋綜合導航系統之間的網線出現故障、無法通信(F23)，智能工作站主機出現故障、無法開機(F31)，智能工作站無法獲得海圖信息(F33)，智慧橋綜合導航系統出現故障、功能失效(F41)，電源供應失靈或降低、設備關機(F51)的風險等級從5降到了4。智能工作站無法獲得AIS傳感器信號(F310)是因為AIS設備故障，船舶通常只配備一臺AIS，故障后維修較為困難，對于AIS故障暫且沒有好的改進措施，故針對F310采取的改進措施效果較差，這一現象符合預期。

表6 實施措施后危害性分析

進一步對發生故障后實施措施前后風險比較分析，如表7所示。

表7 發生故障后實施措施前后風險比較

從表7可以看出：實施措施前后都沒有高風險故障；實施措施后，故障風險由14個中風險降低為6個中風險，由3個低風險變為11個低風險。整體來看，風險控制措施是有效的。

5 結束語

通過智能航行輔助決策系統的風險識別和控制對策研究，應用FMEA原理識別決策系統的風險，對系統故障后的原因、影響進行分析，并在故障后采用風險矩陣方法評估系統風險。實施改進措施后，再次評估風險，確定風險控制措施。研究結果表明以下三點。

1)通過FMEA識別出17種故障模式，包含14種中風險和3種低風險等級的故障模式；對中風險故障模式實施風險控制措施后，8種故障模式從中風險降為低風險等級。

2)中風險的故障可分為兩種，其一是硬件本身發生了故障，在船舶上采用冗余備份，可將中風險故障降低為低風險故障；其二是線路損壞，不影響船舶正常航行，采用冗余設計，可將中風險故障降低為低風險故障。

3)除了智能工作站無法獲得海圖信息(F33)，本系統故障對其他智能系統無影響，未發現影響綜合導航系統功能和船舶正常航行的風險，對船舶的安全無影響。