于立國

（中船郵輪科技發(fā)展有限公司，上海 200137）

0 引言

郵輪功能區(qū)域復雜，艙室數(shù)量眾多，人員密集，一旦發(fā)生事故且無法有效控制將會造成巨大的損失。因此，大型郵輪尤其注重保障人員安全、環(huán)境安全及船舶安全。而安全管理系統(tǒng)（Safty Management Control System，SMCS）可有效實現(xiàn)人員管理、火災、浸水和設備安全狀態(tài)監(jiān)控，以及輔助設備監(jiān)測等功能。船上的工作人員僅利用安全管理系統(tǒng)就能夠監(jiān)控和處理所有緊急情況，可有效收集數(shù)據(jù)、報警、設置操作命令及安全策略。

當前，國內(nèi)在滿足安全返港（Safe Return to Port，SRtP）情況下的安全管理系統(tǒng)方面的研究剛剛起步，而大型郵輪的安全系統(tǒng)分布環(huán)境復雜、業(yè)務覆蓋范圍廣，僅有少量規(guī)范給出部分功能要求。本文結合安全返港的設計要求，對安全管理系統(tǒng)設計方法進行研究，建立符合安全返港的設計理念，確保系統(tǒng)能夠更高效地保障人身安全及郵輪生產(chǎn)活動。

1 相關設計要求

為提高船舶安全管理水平，國際海事組織（International Maritime Organization，IMO）、政府部門以及船級社對于接連發(fā)生的客船事故不斷進行分析和研究，使得安全系統(tǒng)的各種規(guī)范標準不斷迭代發(fā)展。特別是大型郵輪安全管理系統(tǒng)的要求不斷提高，相關安全標準的提高能夠直觀反應在SMCS上。

安全返港源自IMO在2006年8月所達成的MSC.216(82)號決議，并同有序撤離共同寫入國際海上人命安全公約（，SOLAS），以貫徹“船舶自身是其最好的救生艇”的理念。IMO隨后批準MSC.1/Circ.1369通函《客船發(fā)生火災和進水事故后系統(tǒng)能力評估的暫行解釋性說明》，這要求執(zhí)行安全返港要求的船舶在設計過程中需要具備返港條件，并通過系統(tǒng)評估。SOLAS第II-2章規(guī)定了在火災和進水造成人員傷亡情況下安全返港需維持運轉的系統(tǒng)列表及系統(tǒng)設計標準。雖然 SMCS不屬于SRtP規(guī)則必須要求的系統(tǒng)，但SMCS需能夠執(zhí)行替代相應的功能。因此，SMCS體系架構應該符合SRtP規(guī)則。

各個船級社也不斷針對規(guī)范標準出版了各自的指導文件，如英國勞氏船級社（Lloyd's Register of Shipping，LR）和挪威船級社（Det Norske Veritas，DNV）等船舶入級規(guī)范均對客船安全系統(tǒng)給出了一般的要求，同時也對水密門、照明和廣播等安全管理子系統(tǒng)的報警、控制和電源配置給出了詳細的規(guī)定。

2 安全管理系統(tǒng)接入業(yè)務分析

安全管理系統(tǒng)通過相關接口獲取全船所有與安全相關的細節(jié)信息，系統(tǒng)功能由其連接的不同業(yè)務系統(tǒng)共同構成。當前，安全管理系統(tǒng)均采用分布式硬件與模塊化體系相結合的類型，這有利于各個子系統(tǒng)信息的分布式共享，從而提供較高的靈活性與安全性。設計人員在設計安全管理系統(tǒng)時，首先需要對整個SMCS接入業(yè)務功能進行分析，進而才能對分布式系統(tǒng)的硬件布局、配電和通信進行整體設計。由于SMCS所接入的功能模塊有部分需要滿足SRtP及有序撤離的要求，有些業(yè)務雖然也承擔監(jiān)測船舶的安全的任務，但并不屬于 SRtP中所提及必須滿足的情況。根據(jù)當前主流系統(tǒng)的資料，結合安全返港和有序撤離的要求，對安全管理系統(tǒng)需要接入的業(yè)務進行統(tǒng)計分析，見表1。

表1 安全管理接入業(yè)務表

表1列舉的系統(tǒng)基本滿足SMCS的監(jiān)控要求，安全管理接入系統(tǒng)并不僅限于表1中列舉的15個。雖然表1沒有詳細列出系統(tǒng)設計所需的功能，但實現(xiàn)應用仍需依據(jù)各業(yè)務系統(tǒng)的接入數(shù)據(jù)。如，SMCS對應急切斷系統(tǒng)的監(jiān)控不只針對子業(yè)務本身，還可通過接入信息執(zhí)行通風系統(tǒng)、防火門、CO和廚房排風等動作命令。盡管決策支持系統(tǒng)、衛(wèi)星系統(tǒng)和航行記錄儀等系統(tǒng)不需要滿足 SRtP及有序撤離的要求，但是其為安全管理系統(tǒng)間接提供支持決策。在設計過程中，對于需要滿足 SRtP及有序撤離的業(yè)務而言，需要著重考慮SMCS與各業(yè)務模塊的配電及通信網(wǎng)絡的冗余性。

3 滿足安全返港的安全管理系統(tǒng)架構設計

安全管理系統(tǒng)是一個龐大而復雜的系統(tǒng)，包括數(shù)據(jù)采集和處理、設備狀態(tài)監(jiān)測、輔助決策和功能擴展等功能，可實現(xiàn)對火災、進水、設備和人員安全管理等相關信息的綜合處理。綜合安全功能要求通過傳感器實時采集安全管理系統(tǒng)所包含的設備運行數(shù)據(jù)信息，并實時存入系統(tǒng)服務器，經(jīng)數(shù)據(jù)通信網(wǎng)絡傳入計算機以進一步分析處理?；诟髋撘何粩?shù)據(jù)、縱傾/橫傾數(shù)據(jù)和航行數(shù)據(jù)等信息，執(zhí)行船舶穩(wěn)定性程序評估及輔助決策，并傳送至用戶終端，從而實現(xiàn)所有與安全相關的系統(tǒng)和設備的控制和檢測。安全管理系統(tǒng)處理流程及對應的系統(tǒng)功能模塊圖見圖1，安全管理系統(tǒng)處理流程主要包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)提取、狀態(tài)計算評估和用戶終端等5個部分，每一部分都與相應的安全管理系統(tǒng)的功能模塊一一對應。I/O接口模塊用于實現(xiàn)安全管理系統(tǒng)之間的信息和數(shù)據(jù)的交換，使通信網(wǎng)絡保障系統(tǒng)采集的數(shù)據(jù)能夠快速可靠地與其他接口進行聯(lián)系?？刂破骷拜o助決策模塊將I/O接口模塊導入的信息通過智能算法進行數(shù)據(jù)計算分析，為系統(tǒng)需求提供決策支持。操作站作為用戶終端的執(zhí)行元素，用于匯聚操作處理，能夠控制和監(jiān)視整個系統(tǒng)的運行狀況。

圖1 安全管理系統(tǒng)處理流程及對應的系統(tǒng)功能模塊圖

本文設計的安全管理系統(tǒng)架構布局見圖2。其中，交換機之間構成光纖環(huán)網(wǎng)，不同交換機與服務器通過現(xiàn)場總線或以太網(wǎng)接入不同安全業(yè)務的 I/O接口。接口可通過串口與交換器連接，也可直接與服務器連接。SMCS的操作站通常設計在集控室、駕駛臺和安全中心，分布在各防火主豎區(qū)的通信網(wǎng)絡可提供冗余、安全和高效的數(shù)據(jù)傳輸。

圖2 安全管理系統(tǒng)架構圖

雖然SMCS架構中各功能模塊均由廠商提供，但是為保障系統(tǒng)設計能夠符合安全返港的要求，需要船舶設計人員認真執(zhí)行各個功能模塊的布局、系統(tǒng)配電和通信網(wǎng)絡設計方案。

3.1 系統(tǒng)冗余配電設計

在安全管理系統(tǒng)設計過程中，由于SMCS系統(tǒng)不屬于船舶有序撤離場景的必要系統(tǒng)，故僅需考慮系統(tǒng)的所有組成模塊在 SRtP場景中的影響。根據(jù)MSC. 216(82)決議，SMCS設備的布置應確保損失不超過閾值，在受火災和進水的影響后，系統(tǒng)的其余部分應保持運行。

為滿足 SRtP的要求，安全管理系統(tǒng)的配電設計應為冗余形式。根據(jù)設計標準的不同，發(fā)電系統(tǒng)通常分為A和B 2個子系統(tǒng)，2個發(fā)電子系統(tǒng)各自能夠獨立運行。E系統(tǒng)為應急發(fā)電系統(tǒng)，當A和B 2個子系統(tǒng)中任何一個失效時啟用E系統(tǒng)。系統(tǒng)配電設計見圖3，防火主豎區(qū)內(nèi)的系統(tǒng)能夠從3個發(fā)電（子）系統(tǒng)中的2個獲取冗余的電源，服務器1與服務器2通常布置于2個不相鄰的專用空間。服務器1通過A區(qū)電源、應急電源和UPS供電，服務器2通過B區(qū)電源、應急電源和UPS供電，通信網(wǎng)絡中的各個交換機均通過每個防火主豎區(qū)的正常電源和UPS冗余供電。通常情況下，服務器布置于駕駛室和集控室2個不同的I/O機柜中，I/O單元配電由 A和 B2個子系統(tǒng)供應。根據(jù)MSC.1/Circ.1369第13條規(guī)定，各系統(tǒng)有單獨的路徑保護，環(huán)形網(wǎng)絡、現(xiàn)場總線連接的控制和監(jiān)控設備在與I/O單元連接時需使用防火電纜。

圖3 系統(tǒng)配電設計

后續(xù)設計需對 SRtP場景系統(tǒng)配電可能出現(xiàn)的損失進行分析。假設主配電系統(tǒng)評估正常，保證在SRtP場景中發(fā)生火災或單個水密艙室進水后3個發(fā)電（子）系統(tǒng)中的2個可用，且SMCS服務器1和服務器2在不受火災或洪水直接影響時同樣可用。如圖3所示，每個發(fā)電系統(tǒng)的邊界都通過虛線框出，配電系統(tǒng)的輔助設備（如變壓器、配電板和啟動面板等）均考慮在發(fā)電系統(tǒng)邊界內(nèi)，可認為每個發(fā)電系統(tǒng)都是獨立完整的。SMCS系統(tǒng)配電設計要求見表2。由表2可得，當火災傷亡不超過閾值時，由于配電供應的冗余性，保障系統(tǒng)的正常運行不會受到影響。

圖3 網(wǎng)絡系統(tǒng)拓撲圖

表2 SMCS系統(tǒng)配電設計要求

3.2 通信網(wǎng)絡冗余設計

通信網(wǎng)絡作為連接整個安全管理系統(tǒng)的橋梁，由光纖主干網(wǎng)絡與總線網(wǎng)絡組成，負責I/O單元、控制器、服務器和操作站的數(shù)據(jù)傳輸。主干通信網(wǎng)絡通過分布在各主豎區(qū)的交換機形成光纖環(huán)網(wǎng)，光纖環(huán)網(wǎng)是最簡單高效的環(huán)網(wǎng)冗余拓撲結構。

SMCS服務器應分別布置于2個不同防火主豎區(qū)的安全中心和集控室中。在后續(xù)通信網(wǎng)絡設計過程中，重點對服務器的接口進行設計。在設計各功能模塊及接入業(yè)務的通信連接時要考慮系統(tǒng)接口的特殊性，有些系統(tǒng)直接與交換機網(wǎng)口連接，有些通過服務器接口連接。若接入業(yè)務同樣需要滿足SRtP的要求，就需要滿足接口網(wǎng)絡的冗余。這一類終端控制單元需采用獨立的以太網(wǎng)絡連接設計，見圖3。設計方法通常選擇環(huán)形拓撲網(wǎng)絡或者星型拓撲網(wǎng)絡結構，以保證為I/O單元和操作站提供冗余且安全的數(shù)據(jù)傳輸。

某郵輪交換機及服務器對系統(tǒng)單元的星型網(wǎng)絡拓撲連接示意圖見圖4。圖4（a）為串口連接方式，交換機通過串口與控制單元連接，呼叫聯(lián)絡系統(tǒng)采用單向連接。對于采用串口連接的系統(tǒng)，在設計過程中要協(xié)調(diào)不同廠家控制模塊與安全管理系統(tǒng)的連接，常規(guī)通過RS485和RS232等通信形式，采用Modbus和Profibus等通信協(xié)議，實現(xiàn)各系統(tǒng)之間的通信傳輸。圖4（b）為以太網(wǎng)連接方式，安全管理系統(tǒng)服務器通過以太網(wǎng)與各不同業(yè)務的控制單元連接，其中，應急關閉系統(tǒng)、火警監(jiān)測系統(tǒng)、自動化系統(tǒng)和進水監(jiān)測均需滿足 SRtP規(guī)則，采用雙向冗余通信連接，每個系統(tǒng)至少擁有2個主控單元并分別與不同的服務器連接。油霧和氣體泄漏檢測不屬于SRtP規(guī)則，故僅需要單向連接。

圖4 某郵輪交換機及服務器對系統(tǒng)單元的星型網(wǎng)絡拓撲連接示意圖

通信網(wǎng)絡設計需要分析 SRtP場景下通信網(wǎng)絡可能出現(xiàn)的損失。以主干通信網(wǎng)絡系統(tǒng)為基礎，在各個防火主豎區(qū)搭建環(huán)形架構網(wǎng)絡，根據(jù)不同安全子系統(tǒng)的類型依次搭建各個終端網(wǎng)絡，網(wǎng)絡的節(jié)點之間都具有自動切斷和有效隔離的功能。此外，不同區(qū)域通信設備的接口電纜必須是防火類型的。因此，這些組成設備在發(fā)生火災或單個水密艙室進水后，僅僅會對SMCS的2個接口造成影響，不會影響SMCS的通信，可保證整體通信網(wǎng)絡的有效運行。

4 結論

針對郵輪安全管理系統(tǒng)，本文給出了滿足安全返港要求的安全管理系統(tǒng)設計。該設計以相關國際法規(guī)及安全管理系統(tǒng)功能處理流程為指導思想，對安全管理系統(tǒng)覆蓋業(yè)務的基本接入要求進行了分析。針對系統(tǒng)不同模塊提出配電設計方案和通信網(wǎng)絡設計方案，并對各組成模塊的配電和通信網(wǎng)絡設計方案進行 SRtP場景損失分析。結果表明，本文的系統(tǒng)設計可保證安全管理系統(tǒng)的可靠性和安全性。另外，安全管理系統(tǒng)的設計在一定程度上需要關聯(lián)系統(tǒng)廠商的資源，隨著控制算法的優(yōu)化，郵輪在進行綜合安全評估計算時會逐步擴展更多的關聯(lián)系統(tǒng)，安全管理系統(tǒng)的設計將會更加重要。