GB/T 43942-2024 智能船舶风险评估方法

ICS47.020.99
CCS U 04
中华人民共和国国家标准
GB/T43942—2024
智能船舶风险评估方法
Methodofriskassessmentforintelligentships
2024-04-25发布2024-11-01实施
国家市场监督管理总局
国家标准化管理委员会发布

目 次
前言………………………………………………………………………………………………………… Ⅲ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 缩略语…………………………………………………………………………………………………… 3
5 一般要求………………………………………………………………………………………………… 3
5.1 智能船舶风险评估流程…………………………………………………………………………… 3
5.2 前期准备阶段……………………………………………………………………………………… 4
5.3 评估阶段…………………………………………………………………………………………… 5
6 风险识别………………………………………………………………………………………………… 6
6.1 目的和范围………………………………………………………………………………………… 6
6.2 风险识别流程……………………………………………………………………………………… 6
6.3 风险识别方法……………………………………………………………………………………… 8
6.4 风险识别结果……………………………………………………………………………………… 9
7 风险分析………………………………………………………………………………………………… 9
7.1 一般要求…………………………………………………………………………………………… 9
7.2 风险分析流程……………………………………………………………………………………… 9
7.3 风险分析方法……………………………………………………………………………………… 10
7.4 输出结果…………………………………………………………………………………………… 12
8 风险评价………………………………………………………………………………………………… 12
8.1 一般要求…………………………………………………………………………………………… 12
8.2 风险评价流程……………………………………………………………………………………… 12
8.3 风险评价方法……………………………………………………………………………………… 13
8.4 输出结果…………………………………………………………………………………………… 14
9 风险应对………………………………………………………………………………………………… 14
9.1 一般要求…………………………………………………………………………………………… 14
9.2 风险应对流程……………………………………………………………………………………… 14
9.3 输出结果…………………………………………………………………………………………… 16
附录A (资料性) 人因可靠性分析……………………………………………………………………… 17
附录B(资料性) 智能船舶潜在风险因素……………………………………………………………… 19
附录C(资料性) 海事数据库…………………………………………………………………………… 22
参考文献…………………………………………………………………………………………………… 23

图1 智能船舶风险评估流程图…………………………………………………………………………… 4
图2 智能船舶风险评估框架……………………………………………………………………………… 6
图3 智能船舶风险识别流程……………………………………………………………………………… 7
图4 预期功能安全风险识别工作流程…………………………………………………………………… 8
图5 智能船舶风险分析流程图…………………………………………………………………………… 9
图6 智能船舶风险评价流程…………………………………………………………………………… 13
图7 ALARP准则示意图………………………………………………………………………………… 13
图8 智能船舶风险应对流程图………………………………………………………………………… 15
表1 概率指数(PI)定义………………………………………………………………………………… 11
表2 后果指数(SI)定义………………………………………………………………………………… 11
表3 风险指数(RI)定义………………………………………………………………………………… 12
表B.1 智能船舶典型事故场景和风险因素识别表…………………………………………………… 19
表B.2 典型智能船舶预期功能安全风险识别表……………………………………………………… 20
表C.1 海事数据库……………………………………………………………………………………… 22

前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请 注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国海洋船标准化技术委员会(SAC/TC12)提出并归口。
本文件起草单位:中国船级社、国家能源集团航运有限公司、中国船舶集团有限公司综合经济技术
研究院、上海海事大学、中国软件评测中心(工业和信息化部软件与集成电路促进中心)。
本文件主要起草人:孙旭、王新宇、邢承海、付姗姗、李恒、蔡玉良、廖南翔、周长根、郭桦、赵晨宁、
刘伟、高鹏、石竹、马吉林。

1 范围
本文件规定了智能船舶及系统风险评估的一般要求、风险识别、风险分析、风险评价、风险应对。
本文件适用于智能船舶及系统风险评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T24353—2022 风险管理 指南
GB/T27921 风险管理 风险评估技术
3 术语和定义
下列术语和定义适用于本文件。
3.1
智能船舶 intelligentship
在船舶航行、管理、维护保养、货物运输等方面实现智能化运行的船舶。
注:其功能在不同程度上独立于船员自主执行。
3.2
风险 risk
不确定性对目标的影响。
注1:影响是指偏离预期,偏离可以是正面的和/或负面的,可能带来机会和威胁。
注2:目标可有不同维度和类型,可应用在不同层级。
注3:通常风险可以用风险源、潜在事件及其后果和可能性来描述。
[来源:GB/T24353—2022,3.1]
3.3
风险评估 riskassessment
风险识别、风险分析、风险评价和风险应对的整个过程。
[来源:GB/T29246—2023,3.64,有修改]
3.4
风险识别 riskidentification
发现、识别和描述风险的过程。
[来源:GB/T29246—2023,3.68]
3.5
风险分析 riskanalysis
理解风险本质和确定风险级别的过程。
[来源:GB/T29246—2023,3.63]
1
GB/T43942—2024
3.6
风险评价 riskevaluation
将风险分析的结果与风险准则比较以确定风险和(或)其大小是否可接受或可容忍的过程。
[来源:GB/T29246—2023,3.67]
3.7
风险因素 riskfactor
单独或以组合的形式具有产生风险的内在可能性的因素。
3.8
风险准则 riskcriteria
评价风险重要性的基准。
[来源:GB/T29246—2023,3.66]
3.9
事件 event
某些特定情形的产生或变化。
注1:一个事件可包括一个或多个情形,并且可由多个原因导致。
注2:事件可能是预期会发生但没发生的事情,也可能是预期不会发生但却发生的事情。
注3:某事件有可能是风险源。
[来源:GB/T24353—2022,3.5]
3.10
事故 accident
涉及人员伤亡(含失踪)、船舶灭失/损坏、财产损失以及环境破坏的意外事件。
3.11
可能性 likelihood
事件发生的概率。
[来源:GB/T24353—2022,3.7,有修改]
3.12
风险控制措施 riskcontrolmeasure
降低风险的措施。
注:包括任何过程、方针、手段、惯例或其他修正风险的措施。
3.13
预期功能 intendedfunctionality
由智能船舶及系统设计方定义的整船级或系统级预定功能。
3.14
预期功能安全 safetyoftheintendedfunctionality
智能船舶及系统不存在因预期功能不足而导致危害的不合理风险。
3.15
风险触发条件 risktriggeringcondition
能够触发系统后续反应,并导致危害行为或无法防止/减缓误用(产生的后果)的条件。
3.16
误用 misuse
以智能船舶及系统设计方或服务提供方非预期的方式使用智能功能。
注:误用包括直接误用和非直接误用,直接误用可能导致危害行为,是潜在风险触发条件。非直接误用可能导致危
害行为的可控性降低以及事件严重程度增加。
2
GB/T43942—2024
示例1:直接误用———船舶驾驶员在运行范围外启动智能功能。
示例2:非直接误用———船舶驾驶员在需要持续监控的自主功能运行时睡着或注意力转移。
3.17
功能不足 functionalinsufficiency
由于智能船舶及系统设计时考虑不全面、技术能力受限、系统规格描述不充分而导致危害行为或无
法防止/减缓误用的情况。
4 缩略语
下列缩略语适用于本文件。
ALARP:最低合理可行(AsLowAsReasonablyPracticable)
BN:贝叶斯网络(BayesianNetwork)
COLREGS:国际海上避碰规则(ConventionontheInternationalRegulationsforPreventingCollisionsatSea)
ETA:事件树分析(EventTreeAnalysis)
FMEA:故障模式与影响分析(FailureModeandEffectsAnalysis)
FTA:故障树分析(FaultTreeAnalysis)
HAZOP:危险与可操作性分析(HazardandOperabilityAnalysis)
HCL:混合因果逻辑(HybridCausalLogic)
HFACS:人为因素分析与分类系统(HumanFactorAnalysisandClassificationSystem)
HMI:人机交互接口(Human-MachineInterface)
HRA:人因可靠性分析(HumanReliabilityAnalysis)
PI:概率指数(ProbabilityIndex)
RCM:风险控制措施(RiskControlMeasure)
RCO:风险控制方案(RiskControlOption)
RI:风险指数(RiskIndex)
SI:后果指数(SeverityIndex)
STPA:系统理论过程分析(System-TheoreticProcessAnalysis)
5 一般要求
5.1 智能船舶风险评估流程
智能船舶风险评估流程可分为前期准备、评估、编制三个阶段,各阶段应符合GB/T24353—2022
相关要求,见图1。
3
GB/T43942—2024
图1 智能船舶风险评估流程图
5.2 前期准备阶段
5.2.1 一般要求
5.2.1.1 评估范围
进行风险评估之前,应先由决策者确定待评估的问题以及有关的边界条件或限定条件。这些信息
应提供给开展风险评估的团队,风险评估团队包括风险识别团队、风险分析团队、风险评价团队。如果
进行额外工作,则应修改问题说明或边界条件或限定条件,并重新提交给风险评估团队,可视情况重复
评估过程。
5.2.1.2 风险评估团队
开展风险评估工作,应成立风险评估团队,具体要求如下:
a) 团队主持人或协调人一般有相关经验,负责做好准备工作,促成专家以团队形式开展工作;
b) 团队成员涵盖风险评估所需的安全、设计或操作等方面的专家,可包括:智能系统设计及研发
工程师、船舶设计师、结构工程师、机械工程师、验船师、海事官员、风险评估专家、人为因素专
家、辅助员和记录员等;
4
GB/T43942—2024
c) 根据所分析的问题选取团队成员,其专业技术水平应与所要进行风险评估的复杂程度相适
应,以能识别出评估内容的影响范围和性质。
5.2.2 数据
5.2.2.1 数据来源
客观数据可通过现场观测、调查统计和数据库等途径获取。当缺少客观数据时,应通过专家判断、
物理模型、数值模拟等来获得有价值的结果,以对客观数据进行补充。
5.2.2.2 数据类型
智能船舶风险评估所需的数据包括事故数据(事故时间/地点、事故后果、事故船舶、气象水文环境、
船员操纵等)、险情数据(险情时间/地点、涉事船舶、气象水文环境、船员操纵等)和操作故障的可靠性数
据、维修工作单和运行记录、内部报告文件以及行业公告等。
5.2.3 专家判断
5.2.3.1 应用场景
智能船舶风险评估过程中,在缺少相关统计数据的情况下,专家应依据各自的经验进行判断。专家
判断可能存在于风险评估的不同阶段,如风险识别、风险后果的估计、风险控制方案的提出等。专家判
断数据具有相当的应用价值,当存在判断不一致的情况时,可对统计数据进一步评估以提高数据的有
效性。
5.2.3.2 判断处理
应用专家判断时,应涵盖不同领域的必要的专家,通过风险评估团队认可的方式形成一致的专家判
断结果。
5.2.4 人为因素
在智能船舶风险评估中应系统考虑人为因素,将其与事故的发生概率、深层原因和影响联系起来。
可采用人因可靠性分析(HRA)将人为因素纳入智能船舶风险评估过程。人因可靠性分析见附录A。
5.3 评估阶段
5.3.1 风险评估流程
智能船舶风险评估流程要求如下:
a) 风险识别应能识别智能船舶航行中面临的危险事故场景和潜在的风险影响因素;
b) 风险分析应包含智能船舶危险事故场景发生的概率分析和后果严重程度的分析;
c) 风险评价应对智能船舶面临的事故场景进行风险度量,评估事故场景所处的风险水平;
d) 风险应对应提出风险控制措施(RCM)和风险控制方案(RCO);
e) 步骤a)~d)可根据实际情况和需要(如RCM/RCO 可能引发新的风险)重复进行,风险应对应
与其他步骤相互联系,最终形成RCO,见图2。
5
GB/T43942—2024
图2 智能船舶风险评估框架
5.3.2 评估结果及应用
风险评估应用人员通过对智能船舶某个方面的风险评估来对其风险进行分析,并将最终风险评估
的结果作为决策人(如航运公司、海事监管机构等)风险管控、相关机构新标准制定/修改现有标准的技
术支持或参考依据。
6 风险识别
6.1 目的和范围
6.1.1 识别目的
风险识别用于确定可能影响智能船舶的各种危险场景及其潜在的风险因素,并对关键事故场景开
展风险分析。
6.1.2 识别范围
风险识别范围包括识别可能对智能船舶产生影响的风险源(包括系统潜在的功能不足等)、影响范
围、风险事件以及可能导致事故场景发生的风险因素。
6.2 风险识别流程
6.2.1 一般要求
智能船舶风险识别主要包含危险事故场景识别及其相关风险因素识别,具体流程见图3。
6
GB/T43942—2024
图3 智能船舶风险识别流程
6.2.2 事故场景识别
6.2.2.1 事故场景识别应通过事故场景发生的概率和/或后果严重程度进行定性或定量分析,对事故场
景的风险水平进行排序,获得高风险区域事故场景。在此基础上,选取高风险区域作为关键事故场景进
一步开展风险分析。
6.2.2.2 智能船舶可能面临的事故场景,包括但不限于以下事故场景:
a) 船舶设备/系统风险,包括自主航行系统等智能船舶设备所面临的风险(如控制失效、控制错
误、控制影响过早/过晚、持续控制有误);
b) 船舶航行风险,船舶航行可能面临的碰撞、触碰、搁浅等和通航环境密切相关的事故风险;
c) 预期功能安全风险,船舶智能化(设计不足、设计不完备)所造成的功能不足、数据不一致、网络
安全问题等方面的特殊风险问题。
6.2.3 风险因素识别
6.2.3.1 风险因素的识别主要包括人为因素、设备因素、环境因素和组织因素(如涉及)等潜在风险因素
7
GB/T43942—2024
的识别,见附录B。其中,设备因素和环境因素的识别可参考相关海事数据库(见附录C中表C.1),人
为因素和组织因素可参考海事事故调查报告(MAIR)进行识别。
6.2.3.2 设备因素应至少包含系统失效和功能不足两方面,风险因素识别包括以下内容。
a) 系统失效安全风险因素识别包括机械系统、电气装置等在海洋环境中长期运行发生软硬件
故障。
b) 由功能不足导致的预期功能安全风险因素识别包括:
1) 识别可能由已知特定航行场景条件导致危害行为的潜在功能不足;
2) 识别可能由已知潜在功能不足导致的危害行为的潜在触发条件。
6.3 风险识别方法
6.3.1 风险识别方法包括:
a) 基于证据的方法,例如检查表法以及对历史数据的审查;
b) 团队经验方法,例如专家团队可借助一套结构化的提示或问题系统地识别风险;
c) 风险识别技术(FMEA、STPA、HAZOP等,应符合GB/T27921相关要求)。
6.3.2 在进行预期功能安全相关风险识别时,宜按照图4所示流程进行。一般从潜在功能不足到潜在
触发条件和从特定航行场景条件到潜在功能不足两个方向单独或同时进行识别,具体方法如下。
a) 从潜在功能不足到潜在触发条件方向的归纳分析:
1) 根据系统设计资料构建系统架构识别系统潜在功能缺陷、不足清单;
2) 识别可能激活这些缺陷并导致危害行为等后果的场景条件,形成风险触发条件清单。
b) 从特定航行场景条件到潜在功能不足方向的归纳分析:
1) 通过对航行场景进行分析,识别场景中可能成为风险触发条件的因素,形成触发条件清单;
2) 分析受以上潜在触发条件或条件组合影响的系统功能或元素,最终确认系统功能不足清单。
其中,触发条件清单和功能不足清单均为功能不足风险因素清单的组成。
图4 预期功能安全风险识别工作流程
8
GB/T43942—2024
6.4 风险识别结果
风险识别的输出结果应包括:
a) 智能船舶及系统面临的事故场景;
b) 事故场景涉及的风险因素清单包括:人为因素、设备因素、环境因素等。
7 风险分析
7.1 一般要求
风险分析应在风险识别的基础上,针对所识别出的智能船舶关键事故场景进行详细分析,并为风险
评价提供输入。
风险分析包括事故场景发生的可能性、事故后果发生的可能性、事故后果的严重性分析等,在此基
础上进行风险估计,以确定事故场景的风险等级。
7.2 风险分析流程
7.2.1 概述
智能船舶风险分析应在风险识别的基础上,针对关键事故场景进行演化过程分析和风险估计(包括
概率分析或者后果分析),风险分析流程见图5。
图5 智能船舶风险分析流程图
9
GB/T43942—2024
7.2.2 概率分析
概率分析应确定事故场景及其后果事件发生的可能性。事故场景概率包括:
a) 初始事故场景发生的概率;
b) 事故场景中后果事件发生的概率。
7.2.3 后果分析
后果分析应确定风险影响的性质和类型。事故场景后果包括:
a) 轻微后果高概率;
b) 严重后果低概率;
c) 以上两种情况的若干中间情况。
7.2.4 风险估计
风险估计应考虑事故场景发生概率(包括初始事故场景发生的概率、事故场景中后果事件发生的概
率)、事故后果严重性或者两者的结合,给出事故场景的风险等级。
7.3 风险分析方法
7.3.1 概述
风险分析过程中,可利用各种技术/方法来评估事故场景的风险,包括故障树分析(FTA)、事件树
分析(ETA)、贝叶斯网络(BN)、混合因果逻辑(HCL)、仿真方法等。
7.3.2 概率分析方法
概率分析通常使用三种方法估计可能性,以下方法可单独或组合使用。
a) 利用相关历史数据来识别过去发生的事件,推断出该事件在未来发生的可能性。所使用的数
据应与正在分析的系统、设备、组织或活动的类型有关。如果某些事件历史上发生频率很
低,则无法仅使用该数据对事件发生的可能性进行估计。
b) 利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时,有必要通过
分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险的可能性。
c) 利用专家判断估计可能性。专家判断应利用一切现有的相关信息,包括历史、具体系统、具体
组织、试验及设计等方面的信息。获得专家判断的常用方法包括德尔菲法和层次分析法等。
7.3.3 后果分析方法
后果分析包括结果的描述、制定详细的定量模型等多种形式,应考虑后果的严重性、时效性、连锁反
应等,可从以下四个方面进行:
a) 考虑现有的后果控制措施,并关注可能影响后果的相关因素;
b) 将风险后果与最初目标联系起来;
c) 对马上出现的后果和经过一段时间后可能出现的后果两种情况应同等重视;
d) 考虑次要后果,例如影响附属系统、活动、设备或组织的次要后果。
7.3.4 风险估计方法
智能船舶风险估计应综合考虑概率和后果,可采用风险矩阵进行表征。通过建立概率和后果的评
10
GB/T43942—2024
估结果与风险矩阵中标准化概率指数和后果指数之间的映射关系,将风险评估结果运用风险矩阵进行
表达。如考虑环境破坏、客船事故等特殊情况,表格的定义可适当进行调整。风险指数(RI)按公式(1)
计算。
风险指数(RI)=概率指数(PI)+ 后果指数(SI) ……………………(1)
式中:
概率指数(PI)———定义见表1;
后果指数(SI)———定义见表2。
表1 概率指数(PI)定义
概率指数
(PI) 概率/频率定义概率/频率(船/年)
7 频繁1艘船舶每月可能发生1次10
6 可能性介于7与5之间1艘船舶每年可能发生1次1
5 可能10艘船舶每年可能发生1次0.1
4 可能性介于5与3之间100艘船舶每年可能发生1次10-2
3 不可能1000艘船舶每年可能发生1次10-3
2 可能性介于3与1之间1000艘船舶的生命周期(20a)中可能发生1次10-4
1 非常不可能5000艘船舶的生命周期(20a)中可能发生1次10-5
表2 后果指数(SI)定义
后果指数
(SI) 严重程度对人员安全的影响对船舶的影响
后果严重程度
(等效死亡)
1 轻微的单个或者较少的伤害本船设备损坏0.01
2 显著的多人的或者严重的伤害不严重的船舶损坏0.1
3 严重的单个或者少量的死亡严重的船舶损坏1
4 灾难性的大量同时发生的死亡全船损毁10
7.3.5 风险指数
综合智能船舶事故场景的概率指数和后果指数,获得智能船舶风险指数矩阵,见表3。风险指数矩
阵可分为三个区域:高风险区域、低风险区域以及两者之间的临界区域。根据最低合理可行准则
(ALARP),除低风险区域的事故场景外,其他事故场景都应提出相应的风险应对措施。
11
GB/T43942—2024
表3 风险指数(RI)定义
风险指数
(RI) 概率/频率
后果严重程度(SI)
1 2 3 4
轻微的显著的严重的灾难性的
7 频繁8 9 10 11
6 可能性介于7与5之间7 8 9 10
5 可能6 7 8 9
4 可能性介于5与3之间5 6 7 8
3 不可能4 5 6 7
2 可能性介于3与1之间3 4 5 6
1 非常不可能2 3 4 5
注:深色部分为高风险区域,浅色部分为临界区域,无色部分为低风险区域。
当概率或者后果难以进行量化估计时,可采取风险分析团队认可的其他方法进行风险估计并得出
风险等级。
7.4 输出结果
风险分析的输出结果应包括:
a) 事故场景的演化过程;
b) 事故场景的风险等级(事故场景及其后果事件发生可能性的估计,或事故场景后果严重性估
计,或两者的组合)。
8 风险评价
8.1 一般要求
风险评价应将风险分析的结果与预先设定的风险准则相比较,或将各种风险分析的结果相比较,从
而确定风险的等级。
8.2 风险评价流程
智能船舶风险评价应在风险分析的基础上,结合具体的风险度量要求,评价风险是否可接受,智能
船舶风险评价流程见图6。
12
GB/T43942—2024
图6 智能船舶风险评价流程
8.3 风险评价方法
8.3.1 ALARP准则
针对智能船舶,宜采用安全工程领域的ALARP准则将风险划分为三个等级段,见图7。
a) 上段:高风险区域,风险不可接受,应采取强制性风险控制措施。
b) 中段:合理可行的“ALARP”区域,根据风险控制措施的成本与效益情况,以确定合理可行的风
险控制措施降低风险。
c) 下段:低风险区域,风险可忽略,无需采取任何风险控制措施。
图7 ALARP准则示意图
13
GB/T43942—2024
8.3.2 风险评价准则
智能船舶风险评价还可遵循如下基本准则:
a) ALARA 准则:可合理达到的情况下尽量低,不应接受高的风险,接受合理的风险,只要合理可
行,任何重大危害的风险都应努力降低;
b) 风险水平大体相当(GAMAB)准则:新系统的风险与已经接受的现存系统的风险相比较,新系
统的风险水平至少应与现存系统的风险水平大体相当,又称作比较原则;
c) 最小内源性死亡率(MEM)准则:新活动带来的危险不应比人们在日常生活中接触到的其他活
动的风险有明显的增加。
8.4 输出结果
风险评价的输出结果应包括:
a) 事故场景的风险评价结果(如高、中、低);
b) 风险不可接受的事故场景清单(需进行风险应对)。
9 风险应对
9.1 一般要求
风险应对应在风险识别、风险分析、风险评价的基础上,针对风险不可接受的事故场景及其相关风
险因素,有针对性地提出有效可行的RCM,并形成实际可行的RCO。
提出的RCO 既应解决原存在的风险,也应考虑由于RCO 可能带来的新风险。
9.2 风险应对流程
9.2.1 概述
智能船舶风险应对在风险评价的基础上,针对不可接受的事故场景,提出风险控制措施,并对RCM
的有效性进行判断,进而提出RCO,智能船舶风险应对流程见图8。
14
GB/T43942—2024
图8 智能船舶风险应对流程图
9.2.2 RCM
智能船舶RCM 应包括对中间事件或风险影响因素的控制,涉及人为因素、环境因素、设备因素等
多方面,应从以下六个方面提出:
a) 通过改进设计、程序优化、组织合理化、加强培训等措施减少事故发生的概率;
b) 通过改进设计、限制功能、切换控制权、在系统操作及使用说明中清晰描述可能的误用等措施
提升预期功能安全水平;
c) 通过增加系统冗余等措施减轻故障的影响,预防事故发生;
d) 改善可能发生事故的环境条件,降低事故发生及其后果发生的可能性;
e) 通过增加能量缓冲装置等方式减轻事故造成的后果;
f) 通过设置隔离屏障,防止事故连锁反应和持续扩散。
9.2.3 RCM 有效性评估
通过分析RCM 以对其在降低风险方面的有效性进行评估,RCM 有效性的评价可包括:功能性
(RCM 能有效防止危害及其后果发生)、完整性、鲁棒性、独立性(某一危害的不同RCM 应具有相互独
立性,且任一RCM 应与风险触发条件具有相互独立性)、人因可靠性等方面。
9.2.4 RCO
RCO 应在风险控制措施的基础上,针对有效的RCM 提出单一或组合风险应对手段,并通过风险
评估团队认可。
15
GB/T43942—2024
9.3 输出结果
风险应对的输出结果应包括:
a) 事故场景的RCM 清单及其有效性;
b) 事故场景的RCO 清单。
16
GB/T43942—2024
附 录 A
(资料性)
人因可靠性分析
A.1 总则
A.1.1 目的
人因可靠性分析用于评估人为因素对系统性能(故障)的影响,特别是在定量评价智能船舶涉及人
的因素的风险发生的概率时。
HRA 可开展定性或定量分析,通常包含以下步骤:
a) 识别关键任务;
b) 对关键任务进行任务分析;
c) 人因失误分析;
d) 人因失误量化。
如对智能船舶航行风险进行全面量化,可采用建议的HRA 方法对人因失误概率进行量化以融入
风险评估。多数情况下风险量化采用风险矩阵的方式,即确定风险发生概率的不同等级(如频繁发生、
经常发生、偶尔发生、很少发生、几乎不发生)。在此情况下,人因失误概率则可确定为不同的数量等级
(例如1×10-3),不宜过度强调人因失误概率的精确性。
注:对于人因失误量化,目前可用的数据极其有限,尽管国际和国内核工业领域已建立了相应的人因失误数据
库,但很难转移至海事领域使用。因此,当智能船舶风险评估需要来自HRA 的定量结果时,专家判断可能是
获得合适数据的最好方法。
A.1.2 HRA 的应用范围
与风险评估一样,HRA 可用于智能船舶的设计、建造、维护和操作阶段中涉及影响系统性能的人
的行为或干预。
A.1.3 问题界定
在对问题进行界定时可额外考虑其他人为因素,可在人为因素分析与分类系统(HFACS)的框架指
导下进行,也可从以下四个方面进行:
a) 个人因素,例如知识、经验、压力、疲劳、注意力不集中、生物节律;
b) 组织因素,例如配员、组织的有效性、培训丰富程度;
c) 任务特性,例如智能化任务复杂性、完成任务的时间压力;
d) 智能系统人机交互接口(HMI)。
A.2 人有关的智能船舶风险示例
A.2.1 个人因素
个人因素如下:
a) 缺乏能力,例如:不熟悉智能功能和系统;
b) 注意力不集中,例如:过度依赖智能系统,未进行必要的监控。
A.2.2 组织因素
组织因素如下:
17
GB/T43942—2024
a) 船舶管理不到位,例如:工作监督不到位、对工作缺乏协调、缺乏领导力;
b) 船东管理不到位,例如:日常规章和程序不到位、缺乏维护资源、缺乏安全操作资源、对船舶组
织的跟踪不到位;
c) 日常规章不到位,例如:对智能系统维护、应急准备的规定。
A.2.3 任务特征
任务特征如下:
a) 任务复杂性和任务量大,即任务太复杂太多导致超出智能系统设计范围,需人机配合完成;
b) 智能系统任务范围不明确;
c) 智能系统任务目标不明确。
A.2.4 智能系统人机交互
智能系统人机交互如下:
a) 交互接口,例如:交互接口设计未满足所有类型操作人员进行适当的接管操作;
b) 信息显示,例如:连续显示保障船舶安全的相关信息、不同操作位置信息的一致性、所有必要信
息集中显示等;
c) 远程交互,例如:适当的远程交互接口、船岸信息一致性等。
18
GB/T43942—2024
附 录 B
(资料性)
智能船舶潜在风险因素
根据智能船舶系统、船舶航行风险的识别结果,总结了一些智能船舶面临的典型事故场景和风险因
素(见表B.1)。典型智能船舶预期功能安全风险见表B.2。
表B.1 智能船舶典型事故场景和风险因素识别表
类别事故场景风险因素
设备故障
控制设备
故障
通信设备
故障
环境监测
设备失效
人为因素设计缺陷、制造缺陷、污垢、水渍、维护不当
设备因素断电、计算机故障或失灵、软件更新、设备老化
环境因素过热、过冷、湿热
人为因素设计缺陷、制造缺陷、污垢、水渍、维护不当
设备因素断电、计算机故障或失灵、软件更新、卫星定位系统干扰、设备老化
环境因素过热、高纬度
人为因素设计缺陷、制造缺陷、污垢、水渍、维护不当
设备因素
断电、计算机故障或失灵、软件更新、错误的传感器设置和/或传感器位置、
设备老化
环境因素过热、结冰
通航风险
碰撞/触碰
搁浅/触礁
火灾/爆炸
人为因素
未采取安全航速、避碰责任判断错误、避碰行动迟缓、未进行避碰效果与局
面查核、未采取避碰行动或行动不力、未正确显示灯光信号、对危险判断错
误、与他船沟通不畅、未在正确的航线上行驶、船员远程操控态势感知弱
设备因素船舶控制设备/通信设备/环境监测设备故障
环境因素能见度低、受限水域、通航密度大
人为因素
航线设计不当、对危险判断错误、未使用安全航速、未采取应急措施、采取
应急措施不合理、对船舶操纵不当、内部沟通不畅、未正确使用助航设备、
船员远程操控态势感知弱
设备因素船舶控制设备/通信设备/环境监测设备故障
环境因素能见度低、受限水域、通航密度大
人为因素
在禁烟区吸烟、未进行事前风险评估、操作不当产生火花、未严格执行安全
检查、私自储存易燃物品、未记录危险材料清单、未及时妥当处理油沥抹
布、由于大意疏忽而在非安全区域进行电焊或喷漆等工作、在生活区域私
接电线、厨房用火不当、未采取应急措施、采取应急措施不合理
19
GB/T43942—2024
表B.1 智能船舶典型事故场景和风险因素识别表(续)
类别事故场景风险因素
通航风险火灾/爆炸
设备因素
金属与甲板机械摩擦、排烟口夹带火焰、监测警报设备故障、自动灭火设备
故障
环境因素持续高温天气
非传统风险
网络故障
海盗
人为因素黑客攻击、网络病毒
设备因素断电、通信系统故障、数据丢失、数据结构错误
环境因素磁场干扰、恶劣天气
人为因素内外部沟通不畅、航线设计不当
表B.2 典型智能船舶预期功能安全风险识别表
智能功能风险场景或触发条件风险
感知/认知
通信链路拥堵,带宽不足,数据缓存过大失去视频/红外感知数据
未识别到危险目标与危险目标发生碰撞
系统未识别驾驶员是否在岗接管请求无法及时得到回应
系统未识别驾驶员状态是否胜任接管工作接管请求无法及时得到回应
无法识别到规划航线前方的实时水深信息错误的水深信息
无法/错误识别推进系统/方向控制系统及
其他关键设备健康状态
错误的船舶健康状态信息
目标融合算法功能不足目标信息错误
目标分类识别不准确目标类别信息错误
气象信息未更新错误的气象信息输入
假的/延迟的AIS信号错误的/延迟的目标信息
海图信息未更新错误的海图信息
海事警告信息未更新错误的航行警告信息
感知系统受到干扰无法提供准确目标信息
(在外部环境中具体分析) 错误的目标信息
目标航速识别不准确目标航速信息错误
感知信息不稳定间歇性失去感知信息
目标融合算法计算缓慢目标信息延迟
决策
决策不符合COLREGS/区域交通规则无法做出符合船舶安全的决策
决策不符合良好船艺无法做出符合良好驾驶习惯的决策
软件计算花费太多时间错过控制时机
20
GB/T43942—2024
表B.2 典型智能船舶预期功能安全风险识别表(续)
智能功能风险场景或触发条件风险
决策
收到感知信息较晚/未收到错失控制时机
决策算法设计不足不应决策时提供多余的决策
控制
通信故障导致决策信息未传达至控制模块/太晚无法形成控制指令/错过控制时机
舵响应速度与指令不匹配无法及时控制航向
推进系统响应速度与指令不匹配无法控制航速
算法导致的舵/推进系统响应错误无法有效控制船舶
算法导致的错误的控制指令无法达到既定控制目标
不符合COLREGS/区域交通规则的控制指令无法做出安全的控制行为
控制指令未考虑船舶的稳性和操纵性特性无法做出安全的控制行为
控制指令形成时间过长无法及时完成控制
控制指令持续时间不够无法有效控制桨舵
人机交互
决策系统显示错误/不足的决策信息人员无法获得系统准确的决策信息
决策系统不提供决策信息人员无法获得系统决策信息
感知系统提供错误/不足的态势信息人员无法获得系统准确的感知信息
感知系统不提供态势信息人员无法获得系统感知信息
HMI系统处理人员操作速度慢/无响应无法保证系统及时响应
HMI系统操作过于复杂人员使用效率低
HMI系统设计容易操纵错误的人员操作人员操作错误
21
GB/T43942—2024
附 录 C
(资料性)
海事数据库
通过研究和分析历史数据,可确定操作过程的薄弱环节及设计存在的问题,为制定规范和预防措施
提供参考,全球常见海事数据库见表C.1。
表C.1 海事数据库
序号数据库数据类型可用性人的因素
1 英国海事事故调查组织Marine AccidentInvestigation
Branch(MAIB) 叙述、部分统计公开部分
2 澳大利亚交通安全局AustralianTransportSafetyBureau
(ATSB) 叙述、部分统计公开部分
3 加拿大运输安全委员会TransportationSafetyBoardof
Canada(TSB) 统计、叙述公开部分
4 美国国家运输安全委员会US NationalTransportation
SafetyBoard(NTSB) 统计、叙述公开部分
5 荷兰运输安全委员会DutchSafetyBoard(DSB) 叙述公开部分
6 丹麦海事事故调查委员会Danish MaritimeAccidentInvestigationBoard(
DMAIB) 叙述公开部分
7 瑞典事故调查局SwedishAccidentInvestigationAuthority
(SHK) 叙述公开部分
8 全球综合航运信息系统GlobalIntegratedShippingInformationSystem(
GISIS) 统计公开无
9 交通事故调查委员会TransportAccidentInvestigation
Commission(TAIC) 叙述公开无
10 劳氏海事信息服务Lloyd’sListIntelligence 统计非公开无
11 埃信华迈IHS-Fairplay 统计非公开无
22
GB/T43942—2024
参 考 文 献
[1] GB/T29246—2023 信息安全技术 信息安全管理体系 概述和词汇
23
GB/T43942—2024