日本自主航行船舶风险评估实践_王新宇.pdf

中国船检 CHINA SHIP SURVEY 2023.242近年来,自主航行船舶研究、试验已经在世界范围内得到积极开展。对于自主船舶,由于其发展是自主化程度不断提升的过程,同时也是人员参与船舶操纵、控制程度不断降低的过程,验证其是否具备与传统人员驾驶船舶相同水平或更高水平的安全性,是世界各国行业各利益相关方研究的重点。风险评估概述1.风险评估基本概念广义概念的风险评估包括识别危害的过程和评估已识别危害的重要程度的过程。英国安全和健 康 执 行 局（Health and Safety Executive,HSE）将识别危害的过程称为风险分析,将识别过程与评价危害的过程综合称为风险评估。此外,包含根据成本和收益选择风险降低措施的决策过程的全过程被称为风险管理。HSE认为无论是工人或者民众,“每年百万分之一的死亡风险”都可作为“广泛可接受”的上限。同时,对于工人,“每年千分之一的死亡风险”是“不可接受”的下限,对于普通民众下限为“每年万分日本自主航行船舶风险评估实践中国船级社 王新宇 赵 轩智能航运 Intelligent Shipping2023.2 CHINA SHIP SURVEY 中国船检43之一的死亡风险”,接受和容忍程度随目标人群和时间会发生变化。2.风险评估技术在海事领域发展简述1977年,挪威Ekofish油田发生井喷事故,约150000桶原油在1周内泄露。与此同时,针对海洋工程的定性风险分析开始进入研究阶段,采用的方法来自于核能工业。1980年,Alexander L Kielland海工钻井平台发生事故,由于结构失效且没有冗余,导致平台沉没。1981年,挪威石油管理局（NPD）颁布法规,要求在新建结构物的概念设计阶段,强制应用定量风险分析（Quantitative Risk Assessment QRA）,进行意外损坏极限状态（ALS）或渐进坍塌极限状态（PLS）的验证。1984年,NPD颁布新法规,引入了ALS定量评价标准。1988年,英国Piper Alpha油田发生爆炸和火灾事故。1990年,英国HSE发布了安全案例,实现了法规规定向基于目标设定的转变。1997年,风险评估被IMO正式引入综合安全评估应用暂行导则（Interim Guidelines for the Application of Formal Safety Assessment）,用 于 公 约 条 款 的制定,随后被证明有效并进行了修订。此时的风险评估由于技术相对基础且内容具有实质性,所以一般用于船舶及其设备的安全性评估。在2000年之后,关于基于风险评估设计认可的讨论也取得了进展,并引入了各种范围不同的指南,如MSC.1/Circ.1002、Circ.1212。与此同时,欧盟SAFEDOR研究项目引入了基于风险的船舶设计概念,提出了一种基于风险的船舶设计技术。这些概念在IMO的相关指南中得以体现,如MSC.1/Circ.1455。就自主航行技术而言,各船级社（NK、BV、DNV、ABS等）验证新颖设计、应用与传统设计、应用具备同等安全水平的方法均为基于风险的方法。3.自主船舶风险评估研究的必要性与前文所述船舶设计、设备设计相比,基于风险的方法在自主航行方面的应用理论基础较少。对于自主船舶而言,由于人类驾驶任务被自主航行系统所替代,不能仅对设备和系统进行单独考虑。各船级社虽然指出了验证自主航行功能安全的重要性,但鲜有推荐具体的评估方法。另 一 方 面,IMO已 经 批 准了自主水面船舶试航暂行导则 （Interim Guidelines for MASS Trials）,要求在进行MASS航行试验时,应对安全、安保、环境保护相关风险采取措施,应当识别试验伴随的风险并实施相关对策。对于可预见的事件或故障,还必须提前制定应急计划和对策。因此如果根据该导则进行自主船舶试验,必须采用风险评估的方法识别自主航行系统可能导致的危害。为了验证新设计与传统设计具有同等的安全性,应当建立系统的基础功能要求和性能要求指标,并证明相关设计满足这些要求和标准,或进行风险分析,并将结果与风险衡准进行比对。近 年 来,日 本 国 土 交 通 省（MLIT）陆续开展了针对三种船舶自主功能的示范项目研究,包括自主操纵功能、远程操纵功能以及自动靠离泊功能。另外,日本财团（Nippon Foundation）主导的MEGURI 2040项目在去年上半年完成了6种船型的自主航行示范试验,该项目旨在通过自主船舶规范研发和技术研发,最终于2025年将自主船舶投入运营。IMO 106次会议上日本展示了自主船舶相关项目的进展以及成果情况,这表明自主船舶的研究已经从研究阶段发展到研发阶段。相关项目取得的成果已见诸报道,且该项目中风险评估的应用取得了关键成果,保障了多次自主航行试验的顺利进行,本文将对这一研究及其成果进行分析,对其研究经验进行总结。研究进展2021 年 2 月,日 本 船 级 社（ClassNK）与日本财产保险公司（Sompo Japan Insurance）联合发起自主船舶风险评估研究。2022年3月,由 日 本 邮 轮（NYK）及 其 集 团 公 司MTI以 及日 本 海 洋 科 学（Japan Marine 中国船检 CHINA SHIP SURVEY 2023.244Science）研发的完全自主船舶架构（APExS-auto）获 得 了NK和BV的原则认可（AiP）。该项目是由日本财团管理的完全自主船舶项目（MEGURI 2040）下联合示范技术开发项目。报道显示,NK依据其船舶自动化/自主操作指南（Guidelines for Automated/Autonomous Operation of ships）对该框架进行了安全审核,审核内容包括系统概念、风险分析以及备份系统等。8月的MSC 106次会议上,日本提交了MEGURI 2040项目的示范性试验成果,在汇报中介绍了自主航行系统开发的V模型过程,如图1所示。在系统设计过程的风险分析方法使用上,从概念设计到总体设计阶段,采用系统理论过程分析（STPA）方法,在总体设计到详细设计阶段,采用了STPA和失效模式及影响分析（FMEA）结合的方法。汇报进一步介绍了风险评估执行过程的几条原则如下：1.风险评估是为了验证自主系统与现有载人船舶的安全性是否相同,该原则的依据是MSC.1/Circ.1212 GUIDELINES ON ALTERNATIVE DESIGN AND ARRANGEMENTS中 要 求 的 船 舶等效设计和布置应当保证与SOLAS II-1和III的要求具有同等安全水平。2.作为比较,基于日本运输安全委员会（Japan Transport Safety Board）事故调查数据,对载人船舶的事故发生频率进行了统计计算。3.自主船舶运行危害主要通过STPA方法进行识别,引发危害的事件、过程主要采用了蝴蝶结（Bow-Tie）分析法呈现。4.项目完成了风险评估（事故频率计算）以及蝴蝶结模型中预防措施与缓解措施（屏障）的设计。9月 的IMO MASS研 讨 会 上,日本海上技术安全研究所（National Maritime Research Institute,NMRI）的SHIOKARI Megumi做了题为“日本MASS研究与开发项目及安全保证方法”（Japanese MASS R&D Projects and Approaches for Ensuring Safety）的报告。报告提 到,NMRI帮 助MEGURI 2040项目的各方完成了实船航行试验的风险评估。NMRI通过风险分析,帮助MASS确保了航行试验的安全,同时提升了自主船舶系统的安全性。NMRI开发了自主船舶风险分析程序文件,相关成果被国土交通省（MLIT）的MASS安全指南引用,该成果将减小开发机构和认可机构的技术负担,并提升MASS研究、开发和商用的便利性。该程序文件名为“自動運航船解析手順書”,文件指出尽管各大船级社、船旗国发布了自主船舶的指南或指导性文件,但对于风险评估智能航运 Intelligent Shipping图1 系统开发过程（MSC106-INF.4）2023.2 CHINA SHIP SURVEY 中国船检45的实施,没有规定具体步骤。在仿真测试方面,NMRI采用了基于场景的方法,采用了包含正常场景和关键场景的场景库。正常场景是基于功能要求、设计运行范围（Operational Design Domain,ODD）类别和法规要求等进行构建的。关键场景包含船舶操纵关键风险因素、系统关键风险因素。日本实践思路分析1.以自动驾驶汽车安全保障研究为参考日本交通省（MLIT）根据美国汽车工程师协会（SAE）的定义,确定了0 5级的汽车驾驶自主程度。日本已经展开了对3级自动驾驶的认证工作,3级的自动驾驶免除了驾驶员在满足某些条件期间通常应当履行的驾驶职责。在日本自动驾驶汽车安全技术指南（Guidelines regarding Safety Technology for Automated Vehicles）中,自动驾驶车辆的安全目标被明确为“不会造成任何合理可预见或可预防的伤害或死亡事故”。这并不意味着要防止车辆的全部潜在危险发生,例如维护保养不善、其他交通参与者故意行为等导致的危险。在以自动驾驶系统安全保障方法开发为目标的SAKURA项目中,为了回答“安全到什么程度才是安全”以及“与人类操作相比,需要多少安全措施”的问题,项目采用了飞马（Pegasus）提出的场景构建方法,即基于真实交通数据和驾驶功能的解析和分析,按照“功能场景、逻辑场景、具体场景”的过程构建安全保障测试场景库,基于这些场景进行仿真和物理测试,并将测试结果与验收衡准进行比对,确认系统的安全性。2.自主航行风险新特征自主船舶的风险分析有两个新的特征。一是,风险评估在船舶系统上的应用更多地是针对以硬件为核心的系统,例如主机系统、发电机系统,但对于自主船舶而言,软件将扮演更多、更重要的角色,这一点与自动驾驶汽车是高度相似的。第二,尽管自主船舶的终极目标是完全取代人类,实现完全自主运行,但在实现这一点前,系统和人类驾驶员的责任分配、任务共享和合作方式的演化、变更有别于传统船舶以人为核心的特征,这是自主航行船舶的新特征,这一特征也在自动驾驶汽车领域得到深入研究。由于传统面向硬件的风险分析技术侧重于物理组件和机构,如机械和电气元件。难以将这些技术直接应用于主要由软件组成的系统,这是由于在风险分析初期进行系统分解时,软件会被视为一个黑盒（black box）。为了分析软件,必须定义其执行的任务,以及计算的输入和输出。此外,考虑到自主船舶将会长期保持人在环路,必须深入研究软件、人类是如何进行信息获取、信息处理、解释、决策和控制的,并将这些过程和执行该过程的组件联系起来,最终将整个系统定义为这些组件的集合并产生交互,这一概念来源于系统理论方法。系统理论事故模型和过程/系统理论过程分析（STAMP/STPA）是解决这类危害分析问题的有效技术手段,它更加关注组件之间的交互和联系。该技术是针对软件安全问题而开发的,广泛应用于航空航天在内的工程领域。自主船舶取代了人类驾驶员,船舶运行方式发生了较大的变化。危害可能存在于人类驾驶员和软件等组件执行任务的过程以及任务在人类驾驶员和软件等组件之间进行转移的过程。在许多情况下,自主船舶是在传统船舶的基础上加以改造实现的。例如,通过扩展和改进导航系统、控制系统的软硬件,实现自主航行。在风险分析中,准确理解系统新的要素和新的运行方式至关重要,在危害分析之外,还应对这一问题进行研究。综上所述,在自主船舶风险分析中,由于自主船舶技术的应用形成了新的特征,产生了新的关键问题,包括以下几点：（1）如何定义风险分析目标体系；（2）如何构建组件、人员等的交互模型；（3）如何对构成系统的新元素、中国船检 CHINA SHIP SURVEY 2023.246新技术导致的与传统船舶的区别进行准确识别；（4）如何识别组件、人员执行任务过程