近年来，随着感知技术的不断快速发展，诸如AI、数字孪生等越来越多的被应用于船舶行业发展，以进一步减少人为因素海上风险，提高行业安全生产水平。“智飞号”“YARA BIRKELAND”等众多国内外典型智能船舶也相继下水投入实际测试运营。自主航行船舶的发展在提高生产效率和安全水平的同时，对其安全风险的管控成为行业研究的热点，不同功能不同等级的自主航行船舶存在哪些特点？如何针对性开展风险分析评估？国际海事组织在未来制定自主航行船舶规则时又将采取怎样的原则？这些都是需要各方共同关注和研究的重要课题。

图1-邮轮母港停泊

传统船舶的操纵通常依靠船员对船舶操纵性能和风、流的了解，凭借自身经验，综合利用船舶舵、推进系统及侧推等实现船舶安全靠离泊操纵。笔者在任船舶驾驶员时，见过优秀的船长仅靠船舶自身条件实现船舶安全“侧方停车”，也见过船舶在大转弯甩尾靠泊码头时，船尾距离码头仅几米之遥的紧迫局面。随着船舶智能化发展，特别是自主航行船舶从概念逐渐走向现实，船舶远程控制甚至完全自主航行成为行业未来发展方向和研究重点。为保障自主航行船舶安全有序发展，安全风险分析与管控受到包括船舶设计建造、检验以及海事的各方高度关注。如何针对自主航行船舶这一全新事物开展风险分析与评估？本文将以船舶操纵为切入点，和大家共同梳理自主航行船舶安全风险分析。

国际海事组织（IMO）公约规则制定是基于安全风险分析而进行制修订的。1997年IMO制定并通过了《综合安全分析临时导则》（FSA），将风险分析作为公约规则制修订的重要基础和依据，并被行业广泛应用于船舶系统设备等众多方面的风险分析。自2000年以来，基于风险分析的船舶等效和替代设计更是不断发展，IMO先后制定了MSC.1-Circ.1002《Guidelines on Alternative design and arrangements for Fire Safety》、MSC.1-Circ.1212《Guidelines on Alternative design and arrangements for SOLAS Chapter II-1 and III》、MSC.1-Circ.1455《Guidelines for the Approval of Alternatives and Equivalents as proved for in various IMO Instruments》多份通函，指导业界如何就船舶替代设计中安全衡准设定、风险分析评估进行指导。比如一艘邮轮的设计布置，其中宴会厅或电影院长度超过60米。根据SOLAS公约II-2章对主竖区的定义，主竖区在任何一层甲板上的平均长度和宽度一般不超过40m，主竖区在总面积不大于1600平方米的情况下，其长度和宽度最大可延伸至48m。很显然，60m的长度突破了SOLAS公约规定的主竖区最大长度48m的规定。对此，根据SOLAS公约II-2章17条，允许偏离现有强制性消防安全规定性要求的设计，只要这种设计同基于IMO规定性要求的设计相比，具有等效的安全水平。在船舶进行初始设计时，船东、船舶检验方及海事主管机关就需要对等效的安全衡准进行确定，包括乘客撤离时间、火灾蔓延等可量化的具体指标，对于无法量化的指标则可以通过FMEA(Failure mode and effects analysis)、WHAT-IF等风险分析方法进行定性评估。

图2-邮轮主竖区替代设计

截止目前，IMO完成了可能影响自主航行船舶的公约规则条款梳理，就最佳解决方案达成共识，并已着手讨论制定自主航行船舶技术规则文本。注意到各国针对自主航行船舶采取的技术路线存在差异，以及船舶本身自主化等级的区分，应用GBS（目标型）的方法成为广泛共识，这就要求在编制文本时，首先要确定目标和功能性要求，并基于安全风险分析制定各款要求。

自主航行船舶的安全风险分析又有哪些特点呢？

安全风险分析过程包括风险识别、风险评估和风险管控，其基本原则是安全水平不低于传统有人船舶。区别于传统有人船舶“船舶硬件系统设备-人”的要素构成，自主航行船舶增加了信息处理要素，为“船舶硬件系统设备-信息处理软件-人”结构，因此针对信息处理软件的风险分析成为关键。在可预见的将来，完全无人化的自主航行船舶将难以投入实际商业运营，船员和信息处理软件将长期共存，或为船员提供决策支持，或部分取代船员执行任务功能，构成了各要素相互融合相互作用的安全系统，传统的线性风险分析理论将无法满足要求，这就需要引入系统理论事故模型和过程（STAMP-Theoretic Accident Model and Process)，此方法已广泛应用于航空、核电和能源开采领域。STAMP 不同于传统分析方法，其将安全视为系统组件间交互的一种涌现特性，并认为事故起因除了组件失效，组件间交互失常而违背安全约束也是重要诱因，主张在系统开发、设计和运行中通过加强控制和强化有关安全约束来预防事故。如何为安全约束？以乘坐电梯为例，如果危险为电梯关门时有人出现在门口，那么安全约束则为有人出现在电梯门口，电梯门都不能关闭。按照STAMP理论，我们以有人船的船舶驾驶系统为例，构建了一个包含软件在内的四层控制架构，在此架构中，更强调的是各层级之间的相互约束、各要素之间的相互作用。

图3-自主航行船舶控制架构

自主航行船舶安全风险分析具体如何开展？

为更好阐述STAMP系统风险分析理论在自主航行船舶上的应用，我们将继续以船舶安全航行为例，深入分析影响安全的风险因素。

第一步：确定风险和安全约束

确定自主航行船舶安全航行约束为：不发生影响船舶航行安全的可能性。

第二步：建立安全控制结构

定义了危险与安全约束，随后，应着手建立包含安全控制过程的层次安全控制结构，如图3所示。每部分又由若干层级、层级间交互、反馈控制回路以及通信信道构成。向下的连线代表施加的控制行为，用以强化对系统的安全约束；而向上的连线代表提供给控制器的信息反馈，以便更有效地满足约束。层次安全控制结构复杂，对不同危险进行分析时，通常仅将总体结构的一部分作为研究对象，其它可视为环境因素。

第三步：辨识潜在的不适当控制行为

定义了系统级的安全控制结构后，需要辨识可使系统处于危险状态的潜在不适当控制行为。而危险状态是指违反已定义的安全约束所处的系统状态。根据控制行为可能引起的危险，给出4种不适当控制的辨识方式: ①无法提供或执行确保安全所需的控制行为，如远程驾驶操作指令丢失或延迟；②提供了诱发危险的不安全控制行为，如远程操作员身体健康原因等；③提供了过早、过迟或无序的潜在安全控制行为，如狭窄水道航行时，因不能及时感知船舶周边通航船舶，导致操纵指令延迟；④终止过快的安全控制行为。不正确或不安全的控制行为可能会引起行为失常或组件间的交互失调。为确保评估的完整性，必须依次对每个控制行为进行深入研究。

第四步：确定潜在的不适当控制行为如何发生

该步骤可找出违反安全约束导致不适当控制行为的场景。找出了潜在原因，就可以设计风险控制举措，用以防止或削弱所识别的场景。STAMP 按功能控制图工作，并通过一系列控制回路的缺陷来牵引。控制缺陷是指控制过程中出现的任何不完整特性或缺点，由于事故是因不适当控制和安全约束造成的，事故原因可按控制缺陷来理解。具体分析过程如图4所示，其中原因只是列举，详细分析需更充分研究。

图4-船舶驾驶系统STAMP风险分析

STAMP 将安全视为控制问题，把事故视为违背系统安全约束的结果。这种观点尤其适合于航空、航天、航海等复杂技术系统，特别是针对自主航行船舶这种新兴复杂系统，可以按照“定义危险约束-确定控制结构 -识别不当行为-找出行为起因”的过程进行危险性分析，得出的危险分析结果，对于制订有效可行的防控措施，具有重要的实用价值。