自主航行系統概念設計及安全分析

圖1  系統開發V模型

基于系統工程理論可將船舶系統安全開發過程概括為系統概念設計及安全分析、系統安全設計與開發和系統交付及營運三個階段，如圖1所示。檢驗機構可以采取類似于船舶建造檢驗的方式，對高度復雜的自主系統的設計和開發過程進行驗證、評估和檢驗。

在概念設計階段，基于系統工程理論，建立船舶自主航行系統架構模型，以系統安全要求為核心，將安全要求映射到系統功能架構中。安全要求源于需求分析，通過功能架構滿足，最終由測試用例進行驗證。

傳統的系統安全分析主要針對系統和組件本身，對其故障發生率和故障危害后果進行分析，常用的方法包括失效模式與效應分析（FMEA），FMEA是用于評估子系統、組件、部件或功能潛在失效影響，并確定可能對系統可靠性產生不利影響的工具。最早由美國軍方開發（MIL-STD-1629A），后廣泛用于航天、汽車領域。FMEA是一種自底向上的方法，主要面向硬件和過程進行應用。

與傳統的危害分析不同，對于自主航行系統，在分析系統危害機理時應當在系統內部故障引發的危害基礎上，增加系統內外部交互導致的功能不足危害以及完全由外部因素（網絡攻擊）導致的危害。隨著船舶智能系統中軟件、算法的大量引入，以及系統的復雜性劇增，預測、理解和防范所有的系統潛在行為變得尤為困難。復雜性導致重要的系統屬性（如安全）與單獨組件的行為關聯性降低，而與組件間的交互關聯性上升，導致FMEA方法不足以解決相關問題。有觀點認為，STAMP/STPA是船舶自主航行系統安全分析領域最適用且最具潛力的方法之一。STAMP/STPA方法是基于系統理論的危險分析方法，其自上而下通過建立控制結構對系統進行建模，表征為一組反饋控制循環，獲取功能關系和交互的同時識別不安全控制行為和相關場景，并且適用于發掘人為操作失誤等導致的危險。

借鑒汽車自動駕駛領域的已有概念，綜合上述分析，確定自主航行系統安全分析的3個方面：

(1)功能安全。主要關注由系統自身物理特性和設計缺陷引發的系統危害，一般可分為系統性故障和隨機硬件故障，這類危害被統稱為功能安全問題。為解決此類安全問題，汽車領域已有較為成熟的參考標準ISO 26262。

(2)預期功能安全。汽車自動駕駛領域首先提出的概念，它是指從系統物理原理出發，結合外部環境的擾動，分析系統內外部交互耦合條件下由于系統功能不足導致的危害。目前已經形成了國際標準——ISO 21448《Road vehicles — Safety of the intended functionality（道路車輛——預期功能安全安全）》。功能不足危害被統稱為預期功能安全問題，主要來源于兩方面：一是由于系統復雜性、專家經驗不完備導致系統設計過程不規范，無法滿足安全目標。二是由于系統組件的性能局限，例如感知、決策和控制設備功能實現不符合預期、具有局限性、易受環境干擾，算法泛化能力差、可解釋性差、專家規則庫覆蓋度不足等因素。例如，某自主航行船舶XX輪，由于硬件條件性能受限，當外部降雨量大時雷達、視覺傳感器均無法有效識別危險目標，如繼續運行則安全風險大大增加，這種安全風險并非由系統或設備的故障所導致。

功能安全是假定系統及功能的規格書（Specification）完全正確，驗證產品實現是否遵循了規定的流程和標準；而預期功能安全針對規格書不足以及性能不足引發的安全問題，兩者相互補充。

(3)網絡安全。遠程控制船舶的感知數據、控制指令等信息交互面臨數據傳輸挑戰和網絡安全威脅。海上信息傳輸的不穩定性可能導致岸基控制人員無法獲取準確的船端態勢信息，以及船端無法及時獲取岸基的控制指令。自主航行船舶可能遭受的網絡安全威脅包括機密性攻擊、完整性攻擊、可用性攻擊、可認證性攻擊、位置敏感信息攻擊等。自動駕駛領域也有相關標準可供參考——ISO 21434《Road vehicle——Cybersecurity engineering（道路車輛——網絡安全工程）》。目前，海事領域網絡安全已有國際船級社協會（IACS）統一要求UR E26/27。網絡安全在本文中不做重點論述。