近年来,船舶智能技术快速发展,系统的复杂程度不断增加。波音737MAX飞机的失事事故对相关行业提出了深刻的警示,复杂系统,尤其是承担决策、控制任务的复杂智能系统,其风险控制尤为重要。复杂系统的显著特点是由多个子系统非线性组合而成,并表现出新的不可忽视的行为,即涌现。同时,系统开放了更多的网络接口,引入了网络空间的涌现现象。对于船舶,船员需要监督或操作越来越复杂的系统,且通常不完全理解此类系统,引发无法预测的行为及后果。
FMEA、FTA等船舶常用风险分析方法的事故模型基于线性事件链,并假设时间线性独立,难以有效识别复杂系统引入的风险。特别是由多个系统共同运行开展决策、控制时,在识别故障模式与机理方面存在局限性。根据船舶复杂智能系统特性,引入STPA分析方法,该方法关注系统模型之间的交互,以系统各部分功能的安全控制结构为基础,假定事故不仅由组件失效引起,还可能由不恰当的需求、设计、性能缺陷、人员行为以及管理程序等引起,从而能有效识别复杂系统中的子系统交联,以及涌现问题。目前,STPA方法已在航天航空、无人机、轨道交通等行业得到了广泛应用。
STPA在船舶复杂系统风险分析中的应用研究仍较少,适用的场景模糊,与船舶行业技术体系和管理体系结合不足,没有考虑船舶系统复杂性持续增长导致行业技术要求可能不适用的问题。针对上述问题,简要概括了船舶复杂系统的基本类型,对比了STPA与FMEA的优缺点,并采用STPA分析方法对船舶典型复杂系统——智能航行系统进行了风险识别和致因分析。
船舶典型复杂系统分类
目前复杂系统还没有形成统一的定义,且船舶系统种类繁多,系统自动化、集成化程度不一,系统复杂程度呈现持续上升的发展趋势,因此难以简单区分船舶非复杂系统和复杂系统。基于现阶段船舶系统的发展趋势,归纳总结了三类典型船舶复杂系统:
1.多传感器、控制软件或自动化部件组成的系统,如报警、监控系统、能源管理系统,需要考虑多组件的组合失效模式,以及新技术和新的操作模式引入的风险。
2.采用智能技术或系统替代原本由人负责的功能或系统,如远程控制系统、智能航行系统等。
3.使用依赖于传感器、软件等性能优化技术的系统,如能效管理系统。此类系统要求操作人员熟悉各系统功能和特性,避免错误的优化行为导致关联系统超出安全边界运行。
STPA风险分析方法
首先通过文献检索,结合专家经验知识,将STPA分析方法与船舶最常用的风险分析方法FMEA进行了对比,辩证STPA在船舶复杂系统风险分析中的适用性。
STPA与FMEA在船舶复杂系统的应用中的主要差异特征总结如表1所示。
表1 STPA与FMEA对比
FMEA基于故障和事故链模型进行分析,对于船舶复杂系统风险分析存在以下典型问题:
1.易忽略导致事故的整体性因素,如由于关键设计缺陷,需求缺陷导致组件非预期场景运行,或组件间的非预期交互引发的组件故障;
2.只能用“人员或组织行为差错”进行标识人为因素,简化建模,难以刻画人员和组织行为的相关因素,如现场环境、经验等;
3.对于需求缺陷诱发的软件错误,人员和组织差错等没有历史数据支撑的系统或组件,估计其发生概率不具备可信性,基于失效概率量化分析结果可信性难以保证。
STPA并没有将安全性问题当作故障问题或将事故简化为事件链,而是将安全性问题当作一个控制问题,用分层结构来描述层次之间的约束与控制关系,强调事件发生的时机、次序及上下文环境等因素。各个层次的控制过程一般由控制器、执行器、受控对象和传感器构成闭环系统,强调多个组件的相互作用。STPA分析可归纳为以下步骤:
1.识别事故损失以及系统级危险;
2.构建功能控制结构;
3.识别不安全控制行为;
4.致因分析。
案例分析
以典型复杂系统——船舶智能航行系统作为对象,采用STPA方法进行风险分析。智能航行系统的架构如图1所示,主要包括感知子系统、制导子系统和控制子系统,虚线表示与智能航行系统进行交联的系统。
图1 典型智能航行系统
根据前文所述STPA分析步骤对智能航行系统进行分析。
1.从利益相关方、船舶财产损失、人员安全以及法律法规等方面识别系统事故,并识别导致事故的系统级危险:
(1) 系统事故
L-1:发生碰撞
L-2:搁浅
L-3:航行任务失败
(2)系统级危险
H-1:在航行避碰过程中违反避碰规则
H-2:与他船距离过近
H-3:复杂会遇场景下航速过快
H-4:偏离设定航迹
H-5:船舶失控
H-6:远程控制模式下船舶没有接收到指令
H-7:船舶进入危险区域
表2列出了系统事故和系统级危险之间的关联关系。
表2 事故和系统级危险之间的关联关系
2.构建功能控制结构
控制结构中的任一环节的问题均可能导致系统级危险和事故,定义智能航行系统的功能控制结构,如图2所示。
图2 智能航行系统功能控制结构
3.识别不安全控制行为
将不安全的控制行为大体分为下列四种情况:
(1)未提供控制行为导致危险;
(2)提供控制行为后导致危险;
(3)提供安全的控制行为但提供节点过早、过晚或顺序错误;
(4)控制行为持续太久或停止过早(仅针对持续性控制行为而非离散行为)。
对于图1所示智能航行系统,以转向为例,基于功能控制结构识别不安全控制行为,结果如表3所示。
表3 转向的不安全控制行为分析
4.致因分析
系统控制逻辑结构中的任一环节失效都可能导致系统失效,因此为能完整识别导致不安全行为的原因,需要逐一分析各控制逻辑环节。
以UCA-1为例,从子系统、人员和网络攻击等方面分析UCA-1导致系统级危险的原因,如表4所示。
表4 UCA-1致因分析
表中仅展示部分分析结果,每一个因素可进一步分析,并可与FMEA、人为失误预测技术(Technique for Human Error Rate Prediction, THERP)等结合,对组件、人为因素等进行建模分析。
上述案例分析过程和结果表明,STPA分析方法能清晰展示复杂智能系统的控制逻辑结构,通过对功能控制结构各环节逐一分析,能完整识别系统的风险,包括子系统因素、人员因素以及网络和通信因素等。相较于传统风险分析方法,STPA在识别子系统之间的交互风险上具有明显优势,且能识别多系统同时故障引发的系统失效,如“摄像头、雷达、激光雷达同时失效,未识别到障碍物或识别到障碍物相对位置错误,导致转向后发生碰撞”。
如若转载,请注明出处:https://www.sumedu.com/faq/27638.html