近年来，自主航行船舶研究、试验已经在世界范围内得到积极开展。对于自主船舶，由于其发展是自主化程度不断提升的过程，同时也是人员参与船舶操纵、控制程度不断降低的过程，验证其是否具备与传统人员驾驶船舶相同水平或更高水平的安全性，是世界各国、行业各利益相关方研究的重点。

风险评估概述

1.风险评估基本概念

广义概念中的风险评估包括识别危害的过程和评估已识别危害的重要程度的过程。英国安全和健康执行局(Health and Safety Executive，HSE)将识别危害的过程称为风险分析，将识别过程与评价危害的过程综合称为风险评估。此外，包含根据成本和收益选择风险降低措施的决策过程的全过程被称为风险管理。HSE认为无论是工人或者民众，“每年百万分之一的死亡风险”都可作为“广泛可接受”的上限。同时，对于工人，“每年千分之一的死亡风险”是“不可接受”的下限，对于普通民众下限为“每年万分之一的死亡风险”，接受和容忍程度随目标人群和时间会发生变化。

2.风险评估技术在海事领域发展简述

1977年，挪威Ekofish油田发生井喷事故，约150000桶原油在1周内泄露。与此同时，针对海洋工程的定性风险分析开始进入研究阶段，采用的方法来自于核能工业。

1980年，Alexander L Kielland海工钻井平台发生事故，由于结构失效且没有冗余，导致平台沉没。1981年，挪威石油管理局(NPD)颁布法规，要求在新建结构物的概念设计阶段，强制应用QRA(中文解释)，进行意外损坏极限状态(ALS)或渐进坍塌极限状态(PLS)的验证。1984年，NPD颁布新法规，引入了ALS定量评价标准。

1988年，英国Piper Alpha油田发生爆炸和火灾事故。1990年，英国HSE发布了安全案例，实现了法规规定向基于目标设定的转变。

1997年，风险评估被IMO正式引入《Interim Guidelines for the Application of Formal Safety Assessment》，用于公约条款的制定，随后被证明有效并进行了修订。此时的风险评估由于技术相对基础且内容具有实质性，所以一般用于船舶及其设备的安全性评估。在2000年之后，关于基于风险评估的设计认可的讨论也取得了进展，并引入了各种范围不同的指南，如MSC.1/Circ.1002、Circ.1212。与此同时，欧盟SAFEDOR研究项目引入了基于风险的船舶设计概念，提出了一种基于风险的船舶设计技术。这些概念在IMO的相关指南中得以体现，如MSC.1/Circ.1455。就自主航行技术而言，各船级社(NK、BV、DNV、ABS等)验证新颖设计、应用与传统设计、应用具备同等安全水平的方法均为基于风险的方法。

3.自主船舶风险评估研究的必要性

与前文所述船舶设计、设备设计相比，基于风险的方法在自主航行方面的应用理论基础较少。对于自主船舶而言，由于人类驾驶任务被自主航行系统所替代，不能仅对设备和系统进行单独考虑。各船级社虽然指出了验证自主航行功能安全的重要性，但鲜有推荐具体的评估方法。

另一方面，IMO已经批准了 “Interim Guidelines for MASS Trials”，要求在进行MASS航行试验时，应对安全、安保、环境保护相关风险采取措施，应当识别试验伴随的风险并实施相关对策。对于可预见的事件或故障，还必须提前制定应急计划和对策。因此如果根据该导则进行自主船舶试验，必须采用风险评估的方法识别自主航行系统可能导致的危害。为了验证新设计与传统设计具有同等的安全性，应当建立系统的基础功能要求和性能要求指标，并证明相关设计满足这些要求和标准，或进行风险分析，并将结果与风险衡准进行比对。

近年来，日本国土交通省(MLIT)陆续开展了针对三种船舶自主功能的示范项目研究，包括自主操纵功能、远程操纵功能以及自动靠离泊功能。另外，日本财团(Nippon Foundation)主导的MEGURI 2040项目在今年上半年完成了6种船型的自主航行示范试验，该项目旨在通过自主船舶规范研发和技术研发，最终于2025年将自主船舶投入运营。IMO 106次会议上日本展示了自主船舶相关项目的进展以及成果情况，这表明自主船舶的研究已经从研究阶段发展到研发阶段。相关项目取得的成果已见诸报道，且该项目中风险评估的应用取得了关键成果，保障了多次自主航行试验的顺利进行，本文将对这一研究及其成果进行分析，对其研究经验进行总结。

研究进展

2021年2月，日本船级社(ClassNK)与日本财产保险公司(Sompo Japan Insurance)联合发起自主船舶风险评估研究。

2022年3月，由日本邮轮(NYK)及其集团公司MTI以及日本海洋科学(Japan Marine Science)研发的完全自主船舶架构(APExS-auto)获得了NK和BV的原则认可(AiP)。该项目是由日本财团管理的完全自主船舶项目(MEGURI 2040)下的联合示范技术开发项目。报道显示，NK依据其《Guidelines for Automated/Autonomous Operation of ships》对该框架进行了安全审核，审核内容包括系统概念、风险分析以及备份系统等。

8月的MSC 106次会议上，日本提交了MEGURI 2040项目的示范性试验成果，在汇报中介绍了自主航行系统开发的V模型过程。在系统设计过程的风险分析方法使用上，从概念设计到总体设计阶段，采用STPA方法，在总体设计到详细设计阶段，采用了STPA和FMEA结合的方法。汇报进一步介绍了风险评估执行过程的几条原则如下：

1.风险评估是为了验证自主系统与现有载人船舶的安全性是否相同，该原则的依据是MSC.1/Circ.1212 GUIDELINES ON ALTERNATIVE DESIGN AND ARRANGEMENTS中要求的船舶等效设计和布置应当保证与SOLAS II-1和III的要求具有同等安全水平。

2.作为比较，基于日本运输安全委员会(Japan Transport Safety Board)事故调查数据，对载人船舶的事故发生频率进行了统计计算。

3.自主船舶运行危害主要通过STPA方法进行识别，引发危害的事件、过程主要采用了蝴蝶结(Bow-Tie)分析法呈现。

4.项目完成了风险评估(事故频率计算)以及蝴蝶结模型中预防措施与缓解措施(屏障)的设计。

图 系统开发过程(MSC106-INF.4)

9月的IMO MASS研讨会上，日本海上技术安全研究所(National Maritime Research Institute，NMRI)的SHIOKARI Megumi做了题为“Japanese MASS R&D Projects and Approaches for Ensuring Safety”的报告。报告提到，NMRI帮助MEGURI 2040项目的各方完成了实船航行试验的风险评估。NMRI通过风险分析，帮助MASS确保了航行试验的安全，同时提升了自主船舶系统的安全性。NMRI开发了自主船舶风险分析程序文件，相关成果被国土交通省(MLIT)的MASS安全指南引用，该成果将减小开发机构和认可机构的技术负担，并提升MASS研究、开发和商用的便利性。该程序文件名为“自動運航船のリスク解析手順書”，文件指出尽管各大船级社、船旗国发布了自主船舶的指南或指导文件，但对于风险评估的实施，没有规定具体步骤。

在仿真测试方面，NMRI采用了基于场景的方法，采用了包含正常场景和关键场景的场景库。正常场景是基于功能要求、ODD(Operational Design Domain)类别和法规要求等进行构建的。关键场景包含船舶操纵关键风险因素，系统关键风险因素。

日本实践思路分析

1.以自动驾驶汽车安全保障研究为参考

日本交通省(MLIT)根据美国汽车工程师协会(SAE)的定义，确定了0～5级的汽车驾驶自主程度。日本已经展开了对3级自动驾驶的认证工作，3级的自动驾驶免除了驾驶员在满足某些条件期间通常应当履行的驾驶职责。

在日本“Guidelines regarding Safety Technology for Automated Vehicles”中，自动驾驶车辆的安全目标被明确为“不会造成任何合理可预见或可预防的伤害或死亡事故”。这并不意味着要防止车辆的全部潜在危险发生，例如维护保养不善、其他交通参与者故意行为等导致的危险。

在以自动驾驶系统安全保障方法开发为目标的SAKURA项目中，为了回答“安全到什么程度才是安全”以及“与人类操作相比，需要多少安全措施”的问题，项目采用了飞马(Pegasus)提出的场景构建方法，即基于真实交通数据和驾驶功能的解析和分析，按照“功能场景、逻辑场景、具体场景”的过程构建安全保障测试场景库，基于这些场景进行仿真和物理测试，并以测试结果与验收衡准进行比对，确认系统的安全性。

2.自主航行风险新特征

自主船舶的风险分析有两个新的特征。一是，风险评估在船舶系统上的应用更多的是针对以硬件为核心的系统，例如主机系统、发电机系统，但对于自主船舶而言，软件将扮演更多、更重要的角色，这一点与自动驾驶汽车是高度相似的。第二，尽管自主船舶的终极目标是完全取代人类，实现完全自主运行，但在实现这一点前，系统和人类驾驶员的责任分配、任务共享和合作方式的演化、变更有别于传统船舶以人为核心的特征，这是自主航行船舶的新特征，这一特征也在自动驾驶汽车领域得到深入研究。

由于传统的面向硬件的风险分析技术侧重于物理组件和机构，如机械和电气元件。难以将这些技术直接应用于主要由软件组成的系统，这是由于在风险分析初期进行系统分解时，软件会被视为一个黑盒(black box)。为了分析软件，必须定义其执行的任务，以及计算的输入和输出。此外，考虑到自主船舶将会长期保持人在环路，必须深入研究软件、人类是如何进行信息获取、信息处理、解释、决策和控制的，并将这些过程和执行该过程的组件联系起来，最终将整个系统定义为这些组件的集合并产生交互，这一概念来源于系统理论方法。系统理论事故模型和过程/系统理论过程分析(STAMP/STPA)是解决这类危害分析问题的有效技术手段，它更加关注组件之间的交互和联系。该技术是针对软件安全问题而开发的，广泛应用于航空航天在内的工程领域。

自主船舶取代了人类驾驶员，船舶运行方式发生了较大的变化。危害可能存在于人类驾驶员和软件等组件执行任务的过程以及任务在人类驾驶员和软件等组件之间进行转移的过程。在许多情况下，自主船舶是在传统船舶的基础上加以改造实现的。例如，通过扩展和改进导航系统、控制系统的软硬件，实现自主航行。在风险分析中，准确理解系统新的要素和新的运行方式至关重要，在危害分析之外，还应对这一问题进行研究。

综上所述，在自主船舶风险分析中，由于自主船舶技术的应用形成了新的特征，产生了新的关键问题，包括以下几点：

(1)如何定义风险分析目标系统。

(2)如何构建组件、人员等的交互模型。

(3)如何对构成系统的新元素、新技术导致的与传统船舶的区别进行准确识别。

(4)如何识别组件、人员执行任务过程以及任务切换过程可能导致的危害。

3.自主船舶风险评估方法

以碰撞事故为研究对象，根据日本海岸警卫队的事故调查数据，船舶间的碰撞和单船碰撞事故导致伤亡的占所有伤亡事故总数的一半以上。碰撞风险是碰撞造成损失程度的概率表示，一次碰撞事故的平均死亡人数为0.16。

碰撞频率即某一时间内碰撞发生次数，通过船舶AIS跟踪数据、船舶靠港数据以及雷达或卫星拍摄数据，结合船舶事故报告进行碰撞事故发生频率的计算。由于这种计算方法存在不确定性因素较多，因此可以采用基于几何分析的碰撞频率计算方法。几何碰撞频率是指一组航行船舶中的两艘船进入可能导致碰撞的遭遇关系中，这种遭遇情况是船舶的位置和航线的组合，如果避碰行动不成功，必然会导致碰撞。具体的方法执行是，首先确定一条用于观察的航线，然后通过使用该航线船舶的数量、航行的时机以及船舶在航线中的位置进行碰撞频率的估算。

碰撞因果概率是指在可能导致碰撞的遭遇情况下，船舶避碰失败发生碰撞的概率。这一概率与船型、海况等复杂环境条件相关。在实施分道通航制(TSS)的水域中，碰撞概率约为10-5到10-4，其他水域为10-4到10-3。

综合碰撞风险损失、几何碰撞频率、碰撞概率，可以定量评估船舶碰撞风险。

(2)自主系统任务执行风险

确定自主系统任务执行的成功率和失败率可以反映系统替代人员执行任务的能力。但是由于人员操作与自主系统操作的输入和输出并不完全相同，因此无法将自主系统执行任务的成功率或者失败率与人员操作进行对比。如果从认可工程角度对船舶控制任务进行分解，将得到信息获取、决策、控制执行等基本任务，这些基本任务重复执行以实现完整的任务。在人员可靠性研究领域，分解后的基本任务的人员执行情况(成功率和失败率)已经积累了研究成果，对于船舶控制任务的研究具有参考意义。例如，认知过程的错误概率超过10-2，决策诊断的错误概率超过20%。

(3)自主系统偏离ODD风险

在风险评估中，自主系统偏离ODD的概率和危害与其他评估一样，需要进行发生概率和危害损失的估算。但在现实情况中，由于数据量的不足和影响因素的不确定性，估算往往存在较大困难。在这种情况下，与其采用定量评估，不如采用一种基于风险评估的决策技术，将危害分为几个等级——广泛可接受的危害到不可接受的危害。确定危害的等级后，选择被认为具有高度重要性的危害，对缓解该危害制定相关安全机制和措施。

4.STAMP/STPA在自主船舶系统风险分析中的应用

NMRI对STAMP/STPA方法被应用于自主船舶(船上无人，远程控制中心人员可以远程控制船舶)的风险评估，该条自主船舶基本信息如下表。

表 自主船舶信息

STAMP/STPA方法风险评估共四个步骤，包括：

步骤1，识别自主船舶危害及安全限制；

步骤2，建立系统组件、要素的控制结构模型；

步骤3，识别不安全控制行为(UCAs)；

步骤4，识别致因场景，并根据致因场景确定应对措施。

以远程控制中心(ROC)为例，通过风险分析，提出了以下改进建议：

(1)安装可检测和报告ROC远程驾驶人员睡眠或突然患病的设备及系统；

(2)应当在ROC和船舶之间建立可靠的网络安全保障措施，设计异常通信报警功能；

(3)对于船端系统，需要设计验证感知信息可靠性的功能，同时需要开发可靠的算法。

5.基于风险评估的自主系统认证及认可

NK发布的“Guidelines for Automated Autonomous Operation on ships”在进行自主系统的认证工作时，对文件进行检查以确认设计的有效性以及系统开发满足所有功能要求，此外还对风险评估结果进行审查，包括ODD、FALLBACK和MRC(最低风险条件)三者之间的关系是否被正确地设计。并且提出了系统设计和开发过程的要求，推荐采用验证与确认(V&V)对系统功能进行测试和验证，包括概念设计的确认、系统组件和子系统地功能详细设计、组件和子系统验证、子系统集成验证、整个系统的确认等流程。

相关结论

通过对近几年日本自主船舶相关项目(MEGURI 2040)研究成果、IMO提案、NMRI等机构发表的科技论文以及NK发布的自主船舶指导性文件进行分析，得出以下结论：

1.日本在自主船舶风险评估领域的研究证明STAMP/STPA方法应用于系统组件、元素交互风险的识别和评估是可行的。基于STAMP/STPA方法进行系统安全的定性分析，并提出了相关安全机制和措施，包括系统监测及报警、容错控制措施、设计运行范围边界监控以及其他预防措施和风险缓解措施。船舶自主航行与汽车自动驾驶类似，由于其终极目标是使用系统取代人类作用，致使人类为核心的系统设备、组件间的交互演变为系统设备、组件之间的直接交互，这种交互产生了新的风险问题。系统相关组件的功能不足使得这种直接交互产生新的风险，这类安全问题在自动驾驶领域被称为预期功能安全问题。这一概念虽未见诸于日本的自主船舶安全研究，但其内涵已经存在。目前，有关预期功能安全的研究已经在自动驾驶领域取得了长足发展，并形成了国际标准——ISO 21448。下一步，应当对自主船舶的预期功能安全展开系统性研究。

2.日本的研究聚焦在船舶碰撞风险、自主系统任务执行失败风险和系统偏离ODD的风险，相关风险的评估采取了较多假设、近似和简化，未形成自主船舶系统性安全框架。由于自主系统的复杂性和新颖性，参考自动驾驶领域的成功经验，采用基于系统理论的研究方法，研究自主船舶系统安全、航行安全和信息安全等方面面临的问题，可以完善自主船舶安全研究框架以及安全保障方法。

3.通过在MASS的概念设计阶段使用STAMP/STPA方法进行风险分析，设计者能够方便地与船级社共享自主船舶系统特征，相关风险评估结果可作为船级社对自主船舶AiP认可的支撑材料。STAMP/STPA方法能够有效分析自主船舶风险的同时，还能够提取自主船舶系统功能要求，相关过程经过船级社见证可以有效降低系统设计和开发的返工。为了有效推广STAMP/STPA方法在自主船舶设计和开发中的应用，应当形成标准化文件。

作者 王新宇 赵轩 中国船检