董 翔

（滬東中華造船（集團）有限公司，上海 200129）

1 FMEA方法

1.1 FMEA方法的定義

故障模式和影響分析（Failure Mode and Effect Analysis, FMEA）方法是一種重要的綜合安全分析方法，用來分析系統(tǒng)內每個部件的潛在失效模式，并按嚴重程度予以歸類，確認各種失效模式對整個系統(tǒng)安全的影響。FMEA能建立實現(xiàn)最小化失效可能性的系統(tǒng)需求，識別促使失效的某些設計特征，最大程度地減少或消除對應的影響，確保任何可能出現(xiàn)的失效都不會對整個系統(tǒng)造成嚴重的影響，從而提高產品的可靠性和安全性[1]。

故障模式即產品故障的表現(xiàn)形式，如無顯示、停機和報警等。故障可按表現(xiàn)形式分為顯性故障和隱性故障2種，其中：顯性故障是指相關分析人員可不借助額外的設備或工具，立即發(fā)現(xiàn)的故障，例如斷電、無畫面和發(fā)生報警等；隱性故障是指相關分析人員需借助額外的設備或工具，通過一段時間的監(jiān)測之后才能發(fā)現(xiàn)的故障，例如發(fā)電機內部絕緣老化等。隱性故障往往難以分析和發(fā)現(xiàn)，造成的危害相比顯性故障更大。在進行故障模式分析時，尤其需對隱性故障予以重視[2]。

1.2 FMEA的基本步驟

FMEA 的基本步驟如下：

1) 明確分析范圍和邊界條件；

2) 明確系統(tǒng)的功能定義，繪制功能框圖；

3) 分析故障模式，即故障的表現(xiàn)形式；

4) 分析故障原因，即引發(fā)故障的原因；

5) 分析故障影響，即故障導致的各種后果，包括對部件自身的影響、對系統(tǒng)的影響和對總體安全的影響；

6) 探尋故障檢測方法；

7) 提出可能的預防改進措施；

8) 填寫FMEA工作表，編制FMEA報告。

1.3 FMEA的主要分析方法

FMEA是一種從功能和硬件方面對系統(tǒng)安全進行分析的技術。根據系統(tǒng)實際情況，可分為功能分析和硬件分析2類。

1) 任何復雜系統(tǒng)都是由彼此聯(lián)系的功能模塊組成一個有機整體，進而形成完整的功能體系。功能分析法正是利用復雜系統(tǒng)的這種特點，從系統(tǒng)內部的各功能模塊入手，分析其故障模式和帶來的影響。

2) 硬件分析法根據系統(tǒng)的功能框圖或可靠性框圖分析系統(tǒng)內各單元要素所有可能出現(xiàn)的故障模式和對應的影響，并將整個分析過程轉化為表格形式，是一種周密嚴謹的分析方法。

這2種方法各有利弊，在實際工程應用中，可根據具體信息和資料的豐富程度來選擇合適的方法。本文采用硬件分析法。

2 某型船的IBS

2.1 IBS配置

目標船的綜合橋樓系統(tǒng)（Integrated Bridge System, IBS）的主要配置如下。

2.1.1 海圖雷達

該船配置有2套海圖雷達，分別為：

1) X波段的海圖雷達，型號為FURUNO FAR-3020X，位于航行及操縱工作站；

2) S波段的海圖雷達，型號為FURUNO FAR-3030S，位于監(jiān)控工作站。

2套雷達均具有自動雷達標繪（Automatic Radar Plotting Aid, ARPA）功能和海圖雷達功能，并能通過網絡集線器互相連接，共享相關的圖像信息；同時，2套雷達既可自成體系，又可互為備份，任何一套雷達發(fā)生故障，都不會對整個系統(tǒng)造成實質性的影響。

海圖雷達的電源部分除了由 220V航行分電箱供電以外，還額外提供一路 10min的獨立不間斷電源（Uninterrupted Power Supply, UPS），其中220V航行分電箱由220V主配電板和220V應急配電板雙路供電。該電源供電設計保證船舶220V電源發(fā)生故障之后，雷達能在應急電源供電之前正常運行。

2.1.2 電子海圖系統(tǒng)

該項目配置3套型號為FMD-3300的電子海圖系統(tǒng)，分別位于航行及操縱工作站、監(jiān)控工作站和航行計劃站。3套電子海圖系統(tǒng)能通過網絡集線器連接，通過以太網技術實現(xiàn)相互間的數據交換和共享，互為冗余。航行計劃站的電子海圖系統(tǒng)能通過網絡將航線計劃數據發(fā)送給航行及操縱工作站和監(jiān)控工作站的電子海圖系統(tǒng)。每套電子海圖系統(tǒng)都具有TCS（Track Control System）功能，能配合自動操舵儀對船舶進行航跡控制。

電子海圖系統(tǒng)的電源設計與海圖雷達相同，同樣額外提供一路10min的獨立UPS，保證船舶220V電源發(fā)生故障之后，電子海圖系統(tǒng)能在應急電源供電之前正常運行。

2.1.3 橋樓報警管理系統(tǒng)/CONNING

CONNING工作站位于駕駛臺中心位置，不僅能顯示各種導航傳感器和推進器的數據信息，而且集成了橋樓報警管理系統(tǒng)模塊，能實時顯示IBS相關系統(tǒng)和設備的運行狀態(tài)，并通過與機艙監(jiān)測報警系統(tǒng)互聯(lián)，實時顯示全船的報警狀態(tài)信息。

2.1.4 自動操舵系統(tǒng)

該船的航跡控制系統(tǒng)包含自動操舵系統(tǒng)和TCS。自動操舵系統(tǒng)功能框圖見圖1。自動操舵主控板、模式選擇控制板和自動操舵儀控制箱布置在IBS的航行及操作工作站上。自動舵左翼、右翼控制板和FU（Follow-Up）控制板分別布置在駕駛室左翼、右翼的靠港工作站上。主操舵儀控制箱、備用操舵儀控制箱和伺服單元布置在舵機間內。舵機上安裝2臺舵機反饋傳感器。雖然自動操舵系統(tǒng)不是完全囊括在IBS中的，但由于其直接對接船舶控制，有必要完整展現(xiàn)其功能框圖，以便后續(xù)實施FMEA。

圖1 自動操舵系統(tǒng)功能框圖

2.1.5 導航傳感器

該船的位置傳感器配置有2套衛(wèi)星定位系統(tǒng)（Global Positioning System, GPS）；艏向信號設備配置有2臺艏向傳感器陀螺羅經，提供相關信號供導航系統(tǒng)和其他相關設備使用；測深儀和計程儀傳感器各配置有1臺傳感器陀螺羅經。

2.2 IBS功能框圖

該船的IBS網絡由主干網和傳感器信息網組成，其中：主干網由3套電子海圖和2套海圖雷達通過集線器HUB連接組成；傳感器信息網由傳感器適配器和2臺傳感器交換機組成。傳感器信號可通過串口信號協(xié)議直接傳輸給電子海圖和海圖雷達的處理器主機。電子海圖和海圖雷達的處理器主機均配置相同的接口硬件設備，配置的顯示器均為多功能顯示器，通過安裝功能不同的軟件，在顯示器上實現(xiàn)不同功能畫面的輸出和自由切換。

該部分的電源為雙路電源設計，一路為正常的220V航行分電箱電源，另一路為UPS。220V航行分電箱電源來自于220V主配電板和應急配電板。當220V主電源發(fā)生故障時，220V航行分電箱電源自動切換至220V應急電源；當220V航行分電箱電源發(fā)生故障時，自動切換至UPS供電，實現(xiàn)系統(tǒng)不間斷運行（電源部分的FMEA在后續(xù)表格中不再展開）。具體功能框圖見圖2。

圖2 目標船IBS功能框圖

3 基于FMEA方法的IBS航行安全分析

3.1 確定FMEA對象

本文分析的對象為某船的IBS，該系統(tǒng)滿足挪威船級社（Det Norske Veritas, DNV）的IBS入籍符號NAUT-AW的要求。該IBS較為復雜，涉及的輔助系統(tǒng)和設備眾多。若對所有系統(tǒng)和設備都進行分析，過程十分繁瑣。為更有針對性地進行分析，本文將不重要的輔助系統(tǒng)和設備（如自動電話、甚高頻電話和霧笛等）剔除，同時將FMEA對象鎖定在航行及操縱工作站和監(jiān)控工作站等主要用于保證船舶安全航行的工作站上。

3.2 FMEA任務目標

本文進行FMEA的目的是確定影響船舶安全航行的最惡劣故障模式及其造成的影響，深入分析引發(fā)故障的各種可能的原因，并提出相應的改進措施和補償手段，進一步提升船舶的安全航行性能。

3.3 實施FMEA的邊界條件

1) 所有的IBS都正常運行；

2) 其他相關系統(tǒng)都正常運行；

3) 在分析時，相關故障均為單點故障；

4) 單點故障觸發(fā)系統(tǒng)發(fā)生故障時，其備用系統(tǒng)工作正常，運轉無障礙；

5) 在分析過程中，僅評價某個系統(tǒng)當前的狀態(tài)，其備用系統(tǒng)工作正常，運轉無障礙。

3.4 FMEA的故障模式

IBS設備通常由電源模塊、操作單元、接口單元網絡、網絡集線器、傳感器適配器和處理單元等部件組成。預計的失效模式大致可分為電源故障、傳感器故障、網絡集線器故障和其他組件故障等。

3.5 FMEA的安全等級

FMEA的安全等級一般按嚴重程度分為致命、嚴重、臨界和輕微等4個級別，其中：“致命”的等級最高，極易造成重大的安全事故；“嚴重”的等級其次，可能會造成事故；“臨界”的等級不會造成明顯的損失；“輕微”的等級可忽略不計。具體FMEA安全等級分類見表1[3]。

表1 FMEA安全等級分類

3.6 目標船的FMEA

根據FMEA方法和步驟，結合具體的功能框圖，對目標船的IBS進行FMEA，所得結果以表格的形式呈現(xiàn)，具體見表2（由于No.2 ECDIS和No.3 ECDIS與No.1ECDIS相同，為節(jié)省篇幅，這里將二者省略）。

表2 目標船IBS的FMEA

4 結論分析

由該船IBS的FMEA結果可知：由于IBS的網絡結構體系和設備配置的冗余性設計，任何一個單點故障發(fā)生之后，IBS偵測到故障時立即啟動對應的補償機制，不會出現(xiàn)高安全等級的故障模式，對船舶安全航行不會造成任何實質性的影響。

IBS的安全性設計主要體現(xiàn)在網絡和設備2個方面。下面以碰撞和擱淺這2種主流航行安全事故為例，結合該船的實際情況展開具體分析。

1) 以船舶碰撞事故為例，為避免船舶發(fā)生碰撞事故，國際海事組織（International Maritime Organization,IMO）的相關規(guī)范要求最低需配置的硬件設備為1套具有ARPA功能的海圖雷達和1套具有提供艏向信號功能的傳感器[4-5]。本文所述目標船共配置2套具有ARPA功能的海圖雷達和2套陀螺羅經。任何一套海圖雷達發(fā)生故障，另一套海圖雷達都可作為避碰預警雷達使用。同時，2套陀螺羅經均可提供艏向信號給當前的海圖雷達使用。另外，若導航主干網絡發(fā)生故障，當前的海圖雷達可作為獨立的避碰預警雷達正常運行。若傳感器信息網的網關發(fā)生故障，可切換至備用網關繼續(xù)發(fā)送相關信息。若整個傳感器信息網失效，陀螺羅經的艏向信號可直接傳輸給當前的海圖雷達，保證其相關功能正常，確保避碰功能正常實現(xiàn)。若正常電源發(fā)生故障，當前海圖雷達的電源立即切換至備用UPS，雷達的避碰預警功能不會受到任何影響。因此，任何單點出現(xiàn)故障都不會對船舶的避碰功能產生實質性的影響，該船的IBS相關設計完全滿足避碰預警的安全要求。

2) 以船舶擱淺事故為例，IMO相關規(guī)范要求的最低硬件配置為至少保持1套電子海圖系統(tǒng)正常工作[4-5]。該船共配置3套功能相近的電子海圖設備和1套測深儀傳感器。電子海圖不僅可規(guī)劃船舶航行軌跡，而且可根據海圖數據庫的信息查詢出相關海域的水深信息。在正常情況下，船舶的水深數據是通過安裝在艙底的測深儀傳感器，利用多普勒聲學效應測量、計算得出的。當傳感器信息網失效之后，測深儀傳感器的數據可直接發(fā)送給當前的電子海圖系統(tǒng)。若測深儀傳感器失效，電子海圖系統(tǒng)可根據海圖數據庫中的海域水深信息輔助進行擱淺預警決策。另外，根據附錄FMEA表格的分析結果，任何單點出現(xiàn)故障時，系統(tǒng)都能保證至少1套功能完整的電子海圖系統(tǒng)正常工作。因此，任何單點出現(xiàn)故障都不會對船舶的擱淺預警功能產生實質性的影響，該船的IBS相關設計完全滿足擱淺預警的安全要求。

綜上所述，該船的IBS設計能在任何單點出現(xiàn)故障時正常實現(xiàn)船舶避碰和避免擱淺功能，完全滿足船舶安全航行的需求。

5 結 語

本文以某型船的IBS為實例，采用FMEA方法具體分析了其安全性設計，驗證了其功能結構體系設計完全滿足船舶安全航行的需求，為今后類似船的IBS設計提供了參考依據。