日本自主航行船舶風險評估實踐

近年來，自主航行船舶研究、試驗已經在世界范圍內得到積極開展。對于自主船舶，由于其發展是自主化程度不斷提升的過程，同時也是人員參與船舶操縱、控制程度不斷降低的過程，驗證其是否具備與傳統人員駕駛船舶相同水平或更高水平的安全性，是世界各國、行業各利益相關方研究的重點。

風險評估概述

1.風險評估基本概念

廣義概念中的風險評估包括識別危害的過程和評估已識別危害的重要程度的過程。英國安全和健康執行局(Health and Safety Executive，HSE)將識別危害的過程稱為風險分析，將識別過程與評價危害的過程綜合稱為風險評估。此外，包含根據成本和收益選擇風險降低措施的決策過程的全過程被稱為風險管理。HSE認為無論是工人或者民眾，“每年百萬分之一的死亡風險”都可作為“廣泛可接受”的上限。同時，對于工人，“每年千分之一的死亡風險”是“不可接受”的下限，對于普通民眾下限為“每年萬分之一的死亡風險”，接受和容忍程度隨目標人群和時間會發生變化。

2.風險評估技術在海事領域發展簡述

1977年，挪威Ekofish油田發生井噴事故，約150000桶原油在1周內泄露。與此同時，針對海洋工程的定性風險分析開始進入研究階段，采用的方法來自于核能工業。

1980年，Alexander L Kielland海工鉆井平臺發生事故，由于結構失效且沒有冗余，導致平臺沉沒。1981年，挪威石油管理局(NPD)頒布法規，要求在新建結構物的概念設計階段，強制應用QRA(中文解釋)，進行意外損壞極限狀態(ALS)或漸進坍塌極限狀態(PLS)的驗證。1984年，NPD頒布新法規，引入了ALS定量評價標準。

1988年，英國Piper Alpha油田發生爆炸和火災事故。1990年，英國HSE發布了安全案例，實現了法規規定向基于目標設定的轉變。

1997年，風險評估被IMO正式引入《Interim Guidelines for the Application of Formal Safety Assessment》，用于公約條款的制定，隨后被證明有效并進行了修訂。此時的風險評估由于技術相對基礎且內容具有實質性，所以一般用于船舶及其設備的安全性評估。在2000年之后，關于基于風險評估的設計認可的討論也取得了進展，并引入了各種范圍不同的指南，如MSC.1/Circ.1002、Circ.1212。與此同時，歐盟SAFEDOR研究項目引入了基于風險的船舶設計概念，提出了一種基于風險的船舶設計技術。這些概念在IMO的相關指南中得以體現，如MSC.1/Circ.1455。就自主航行技術而言，各船級社(NK、BV、DNV、ABS等)驗證新穎設計、應用與傳統設計、應用具備同等安全水平的方法均為基于風險的方法。

3.自主船舶風險評估研究的必要性

與前文所述船舶設計、設備設計相比，基于風險的方法在自主航行方面的應用理論基礎較少。對于自主船舶而言，由于人類駕駛任務被自主航行系統所替代，不能僅對設備和系統進行單獨考慮。各船級社雖然指出了驗證自主航行功能安全的重要性，但鮮有推薦具體的評估方法。

另一方面，IMO已經批準了 “Interim Guidelines for MASS Trials”，要求在進行MASS航行試驗時，應對安全、安保、環境保護相關風險采取措施，應當識別試驗伴隨的風險并實施相關對策。對于可預見的事件或故障，還必須提前制定應急計劃和對策。因此如果根據該導則進行自主船舶試驗，必須采用風險評估的方法識別自主航行系統可能導致的危害。為了驗證新設計與傳統設計具有同等的安全性，應當建立系統的基礎功能要求和性能要求指標，并證明相關設計滿足這些要求和標準，或進行風險分析，并將結果與風險衡準進行比對。

近年來，日本國土交通省(MLIT)陸續開展了針對三種船舶自主功能的示范項目研究，包括自主操縱功能、遠程操縱功能以及自動靠離泊功能。另外，日本財團(Nippon Foundation)主導的MEGURI 2040項目在今年上半年完成了6種船型的自主航行示范試驗，該項目旨在通過自主船舶規范研發和技術研發，最終于2025年將自主船舶投入運營。IMO 106次會議上日本展示了自主船舶相關項目的進展以及成果情況，這表明自主船舶的研究已經從研究階段發展到研發階段。相關項目取得的成果已見諸報道，且該項目中風險評估的應用取得了關鍵成果，保障了多次自主航行試驗的順利進行，本文將對這一研究及其成果進行分析，對其研究經驗進行總結。

研究進展

2021年2月，日本船級社(ClassNK)與日本財產保險公司(Sompo Japan Insurance)聯合發起自主船舶風險評估研究。

2022年3月，由日本郵輪(NYK)及其集團公司MTI以及日本海洋科學(Japan Marine Science)研發的完全自主船舶架構(APExS-auto)獲得了NK和BV的原則認可(AiP)。該項目是由日本財團管理的完全自主船舶項目(MEGURI 2040)下的聯合示范技術開發項目。報道顯示，NK依據其《Guidelines for Automated/Autonomous Operation of ships》對該框架進行了安全審核，審核內容包括系統概念、風險分析以及備份系統等。

8月的MSC 106次會議上，日本提交了MEGURI 2040項目的示范性試驗成果，在匯報中介紹了自主航行系統開發的V模型過程。在系統設計過程的風險分析方法使用上，從概念設計到總體設計階段，采用STPA方法，在總體設計到詳細設計階段，采用了STPA和FMEA結合的方法。匯報進一步介紹了風險評估執行過程的幾條原則如下：

1.風險評估是為了驗證自主系統與現有載人船舶的安全性是否相同，該原則的依據是MSC.1/Circ.1212 GUIDELINES ON ALTERNATIVE DESIGN AND ARRANGEMENTS中要求的船舶等效設計和布置應當保證與SOLAS II-1和III的要求具有同等安全水平。

2.作為比較，基于日本運輸安全委員會(Japan Transport Safety Board)事故調查數據，對載人船舶的事故發生頻率進行了統計計算。

3.自主船舶運行危害主要通過STPA方法進行識別，引發危害的事件、過程主要采用了蝴蝶結(Bow-Tie)分析法呈現。

4.項目完成了風險評估(事故頻率計算)以及蝴蝶結模型中預防措施與緩解措施(屏障)的設計。

圖 系統開發過程(MSC106-INF.4)

9月的IMO MASS研討會上，日本海上技術安全研究所(National Maritime Research Institute，NMRI)的SHIOKARI Megumi做了題為“Japanese MASS R&D Projects and Approaches for Ensuring Safety”的報告。報告提到，NMRI幫助MEGURI 2040項目的各方完成了實船航行試驗的風險評估。NMRI通過風險分析，幫助MASS確保了航行試驗的安全，同時提升了自主船舶系統的安全性。NMRI開發了自主船舶風險分析程序文件，相關成果被國土交通省(MLIT)的MASS安全指南引用，該成果將減小開發機構和認可機構的技術負擔，并提升MASS研究、開發和商用的便利性。該程序文件名為“自動運航船のリスク解析手順書”，文件指出盡管各大船級社、船旗國發布了自主船舶的指南或指導文件，但對于風險評估的實施，沒有規定具體步驟。

在仿真測試方面，NMRI采用了基于場景的方法，采用了包含正常場景和關鍵場景的場景庫。正常場景是基于功能要求、ODD(Operational Design Domain)類別和法規要求等進行構建的。關鍵場景包含船舶操縱關鍵風險因素，系統關鍵風險因素。

日本實踐思路分析

1.以自動駕駛汽車安全保障研究為參考

日本交通省(MLIT)根據美國汽車工程師協會(SAE)的定義，確定了0～5級的汽車駕駛自主程度。日本已經展開了對3級自動駕駛的認證工作，3級的自動駕駛免除了駕駛員在滿足某些條件期間通常應當履行的駕駛職責。

在日本“Guidelines regarding Safety Technology for Automated Vehicles”中，自動駕駛車輛的安全目標被明確為“不會造成任何合理可預見或可預防的傷害或死亡事故”。這并不意味著要防止車輛的全部潛在危險發生，例如維護保養不善、其他交通參與者故意行為等導致的危險。

在以自動駕駛系統安全保障方法開發為目標的SAKURA項目中，為了回答“安全到什么程度才是安全”以及“與人類操作相比，需要多少安全措施”的問題，項目采用了飛馬(Pegasus)提出的場景構建方法，即基于真實交通數據和駕駛功能的解析和分析，按照“功能場景、邏輯場景、具體場景”的過程構建安全保障測試場景庫，基于這些場景進行仿真和物理測試，并以測試結果與驗收衡準進行比對，確認系統的安全性。

2.自主航行風險新特征

自主船舶的風險分析有兩個新的特征。一是，風險評估在船舶系統上的應用更多的是針對以硬件為核心的系統，例如主機系統、發電機系統，但對于自主船舶而言，軟件將扮演更多、更重要的角色，這一點與自動駕駛汽車是高度相似的。第二，盡管自主船舶的終極目標是完全取代人類，實現完全自主運行，但在實現這一點前，系統和人類駕駛員的責任分配、任務共享和合作方式的演化、變更有別于傳統船舶以人為核心的特征，這是自主航行船舶的新特征，這一特征也在自動駕駛汽車領域得到深入研究。

由于傳統的面向硬件的風險分析技術側重于物理組件和機構，如機械和電氣元件。難以將這些技術直接應用于主要由軟件組成的系統，這是由于在風險分析初期進行系統分解時，軟件會被視為一個黑盒(black box)。為了分析軟件，必須定義其執行的任務，以及計算的輸入和輸出。此外，考慮到自主船舶將會長期保持人在環路，必須深入研究軟件、人類是如何進行信息獲取、信息處理、解釋、決策和控制的，并將這些過程和執行該過程的組件聯系起來，最終將整個系統定義為這些組件的集合并產生交互，這一概念來源于系統理論方法。系統理論事故模型和過程/系統理論過程分析(STAMP/STPA)是解決這類危害分析問題的有效技術手段，它更加關注組件之間的交互和聯系。該技術是針對軟件安全問題而開發的，廣泛應用于航空航天在內的工程領域。

自主船舶取代了人類駕駛員，船舶運行方式發生了較大的變化。危害可能存在于人類駕駛員和軟件等組件執行任務的過程以及任務在人類駕駛員和軟件等組件之間進行轉移的過程。在許多情況下，自主船舶是在傳統船舶的基礎上加以改造實現的。例如，通過擴展和改進導航系統、控制系統的軟硬件，實現自主航行。在風險分析中，準確理解系統新的要素和新的運行方式至關重要，在危害分析之外，還應對這一問題進行研究。

綜上所述，在自主船舶風險分析中，由于自主船舶技術的應用形成了新的特征，產生了新的關鍵問題，包括以下幾點：

(1)如何定義風險分析目標系統。

(2)如何構建組件、人員等的交互模型。

(3)如何對構成系統的新元素、新技術導致的與傳統船舶的區別進行準確識別。

(4)如何識別組件、人員執行任務過程以及任務切換過程可能導致的危害。

3.自主船舶風險評估方法

以碰撞事故為研究對象，根據日本海岸警衛隊的事故調查數據，船舶間的碰撞和單船碰撞事故導致傷亡的占所有傷亡事故總數的一半以上。碰撞風險是碰撞造成損失程度的概率表示，一次碰撞事故的平均死亡人數為0.16。

碰撞頻率即某一時間內碰撞發生次數，通過船舶AIS跟蹤數據、船舶靠港數據以及雷達或衛星拍攝數據，結合船舶事故報告進行碰撞事故發生頻率的計算。由于這種計算方法存在不確定性因素較多，因此可以采用基于幾何分析的碰撞頻率計算方法。幾何碰撞頻率是指一組航行船舶中的兩艘船進入可能導致碰撞的遭遇關系中，這種遭遇情況是船舶的位置和航線的組合，如果避碰行動不成功，必然會導致碰撞。具體的方法執行是，首先確定一條用于觀察的航線，然后通過使用該航線船舶的數量、航行的時機以及船舶在航線中的位置進行碰撞頻率的估算。

碰撞因果概率是指在可能導致碰撞的遭遇情況下，船舶避碰失敗發生碰撞的概率。這一概率與船型、海況等復雜環境條件相關。在實施分道通航制(TSS)的水域中，碰撞概率約為10-5到10-4，其他水域為10-4到10-3。

綜合碰撞風險損失、幾何碰撞頻率、碰撞概率，可以定量評估船舶碰撞風險。

(2)自主系統任務執行風險

確定自主系統任務執行的成功率和失敗率可以反映系統替代人員執行任務的能力。但是由于人員操作與自主系統操作的輸入和輸出并不完全相同，因此無法將自主系統執行任務的成功率或者失敗率與人員操作進行對比。如果從認可工程角度對船舶控制任務進行分解，將得到信息獲取、決策、控制執行等基本任務，這些基本任務重復執行以實現完整的任務。在人員可靠性研究領域，分解后的基本任務的人員執行情況(成功率和失敗率)已經積累了研究成果，對于船舶控制任務的研究具有參考意義。例如，認知過程的錯誤概率超過10-2，決策診斷的錯誤概率超過20%。

(3)自主系統偏離ODD風險

在風險評估中，自主系統偏離ODD的概率和危害與其他評估一樣，需要進行發生概率和危害損失的估算。但在現實情況中，由于數據量的不足和影響因素的不確定性，估算往往存在較大困難。在這種情況下，與其采用定量評估，不如采用一種基于風險評估的決策技術，將危害分為幾個等級——廣泛可接受的危害到不可接受的危害。確定危害的等級后，選擇被認為具有高度重要性的危害，對緩解該危害制定相關安全機制和措施。

4.STAMP/STPA在自主船舶系統風險分析中的應用

NMRI對STAMP/STPA方法被應用于自主船舶(船上無人，遠程控制中心人員可以遠程控制船舶)的風險評估，該條自主船舶基本信息如下表。

表 自主船舶信息

STAMP/STPA方法風險評估共四個步驟，包括：

步驟1，識別自主船舶危害及安全限制；

步驟2，建立系統組件、要素的控制結構模型；

步驟3，識別不安全控制行為(UCAs)；

步驟4，識別致因場景，并根據致因場景確定應對措施。

以遠程控制中心(ROC)為例，通過風險分析，提出了以下改進建議：

(1)安裝可檢測和報告ROC遠程駕駛人員睡眠或突然患病的設備及系統；

(2)應當在ROC和船舶之間建立可靠的網絡安全保障措施，設計異常通信報警功能；

(3)對于船端系統，需要設計驗證感知信息可靠性的功能，同時需要開發可靠的算法。

5.基于風險評估的自主系統認證及認可

NK發布的“Guidelines for Automated Autonomous Operation on ships”在進行自主系統的認證工作時，對文件進行檢查以確認設計的有效性以及系統開發滿足所有功能要求，此外還對風險評估結果進行審查，包括ODD、FALLBACK和MRC(最低風險條件)三者之間的關系是否被正確地設計。并且提出了系統設計和開發過程的要求，推薦采用驗證與確認(V&V)對系統功能進行測試和驗證，包括概念設計的確認、系統組件和子系統地功能詳細設計、組件和子系統驗證、子系統集成驗證、整個系統的確認等流程。

相關結論

通過對近幾年日本自主船舶相關項目(MEGURI 2040)研究成果、IMO提案、NMRI等機構發表的科技論文以及NK發布的自主船舶指導性文件進行分析，得出以下結論：

1.日本在自主船舶風險評估領域的研究證明STAMP/STPA方法應用于系統組件、元素交互風險的識別和評估是可行的�；�于STAMP/STPA方法進行系統安全的定性分析，并提出了相關安全機制和措施，包括系統監測及報警、容錯控制措施、設計運行范圍邊界監控以及其他預防措施和風險緩解措施。船舶自主航行與汽車自動駕駛類似，由于其終極目標是使用系統取代人類作用，致使人類為核心的系統設備、組件間的交互演變為系統設備、組件之間的直接交互，這種交互產生了新的風險問題。系統相關組件的功能不足使得這種直接交互產生新的風險，這類安全問題在自動駕駛領域被稱為預期功能安全問題。這一概念雖未見諸于日本的自主船舶安全研究，但其內涵已經存在。目前，有關預期功能安全的研究已經在自動駕駛領域取得了長足發展，并形成了國際標準——ISO 21448。下一步，應當對自主船舶的預期功能安全展開系統性研究。

2.日本的研究聚焦在船舶碰撞風險、自主系統任務執行失敗風險和系統偏離ODD的風險，相關風險的評估采取了較多假設、近似和簡化，未形成自主船舶系統性安全框架。由于自主系統的復雜性和新穎性，參考自動駕駛領域的成功經驗，采用基于系統理論的研究方法，研究自主船舶系統安全、航行安全和信息安全等方面面臨的問題，可以完善自主船舶安全研究框架以及安全保障方法。

3.通過在MASS的概念設計階段使用STAMP/STPA方法進行風險分析，設計者能夠方便地與船級社共享自主船舶系統特征，相關風險評估結果可作為船級社對自主船舶AiP認可的支撐材料。STAMP/STPA方法能夠有效分析自主船舶風險的同時，還能夠提取自主船舶系統功能要求，相關過程經過船級社見證可以有效降低系統設計和開發的返工。為了有效推廣STAMP/STPA方法在自主船舶設計和開發中的應用，應當形成標準化文件。

作者 王新宇 趙軒 中國船檢