MASS认证的核心战场:风险评估与验证方法学全解
转载。
一、先搞清楚:为什么"评估和验证"成了主战场?
传统船舶检验的逻辑很简单:规范怎么写,你就怎么做,我来验你是不是做了。
比如SOLAS要求机舱装固定式探火报警系统。验船师上船一看——装了没有?装了。型号对不对?对。测试通不通?通。好,签字。
这是规则导向(Prescriptive Rules)。规则是明确的,检验是二元的——符合/不符合。
MASS Code不走这条路。
它走的是目标型规则(Goal-Based Standards, GBS):
我不告诉你具体怎么设计。我只告诉你"安全目标"是什么。你用自己的方法证明你的设计达到了这个目标。我来审你的证明过程是否成立。
这意味着什么?
意味着检验的"标的"变了:
| 传统船舶 | MASS船 | |
|---|---|---|
| 检验对象 | 设备是否安装、功能是否正常 | 设计是否安全、论证是否充分 |
| 判断依据 | 规范条文 | 风险评估报告+验证数据 |
| 验船师角色 | 核查员 | 评审员 |
| 核心技能 | 熟悉规范 | 理解风险方法论+能审验证数据 |
这就是为什么说"方法学建设急需加速"——你连用什么方法评估、怎么验证都不知道,你拿什么审?
二、MASS认证工具包(一):风险评估三剑客
MASS Code要求船东在申请认证时提交系统性的安全评估。用什么工具?FMEA、FTA、SIL是三个最核心的。
2.1 FMEA:失效模式与影响分析
这是什么?
FMEA(Failure Mode and Effects Analysis)是一种自下而上的归纳分析法。它的逻辑是:
把系统的每一个组件拆开,逐个问:"这个组件如果坏了,会以什么方式坏?坏了以后对系统有什么影响?"
工作流程(五步法):
第一步:定义系统边界和分析范围 ↓ 第二步:识别每个组件的失效模式 (例如:传感器输出卡死在当前值 / 漂移 / 完全失效) ↓ 第三步:分析每种失效模式对局部功能的影响 ↓ 第四步:分析对船舶整体安全的影响 (例如:导致速度控制失效 → 碰撞风险) ↓ 第五步:评估当前设计是否有足够的检测和缓解措施 如果没有 → 提出改进建议
在MASS认证中的应用场景:
| 场景 | FMEA用途 |
|---|---|
| 感知系统 | 分析雷达/摄像头/AIS每个传感器的失效模式和影响 |
| 决策系统 | 分析导航算法的失效如何影响避碰决策 |
| 执行系统 | 分析舵机/主机控制系统各组件失效的连锁效应 |
| 通信系统 | 分析通信链路中断对远程操作的影响 |
验船师审FMEA要看的三个关键点:
- ✅ 完整性:分析范围是否覆盖了所有安全关键功能?
- ✅ 严重度评级:对"最坏情况"的评估是否保守合理?
- ✅ 闭环:每个高风险项是否有对应的改进措施或等效替代方案?
2.2 FTA:故障树分析
这是什么?
FTA(Fault Tree Analysis)是一种自上而下的演绎分析法。逻辑和FMEA正好相反:
先定义一个"不希望发生的顶事件"(比如"船舶失控碰撞"),然后逐层往下推导——"这个事件要发生,需要哪些条件同时成立?"
工作流程:
顶事件:船舶碰撞
│
┌──────┼──────┐
│ │ │
避碰失效 外部障碍物 人为失误
│
┌────┼────┐
│ │ │
感知 决策 执行
失效 失效 失效
│ │ │
┌──┴──┐ ┌┴──┐ ┌──┴──┐
雷达 AIS 算法 通信 舵机 主机
失效 失效 Bug 中断 卡死 停机
FMEA vs FTA:什么时候用哪个?
| FMEA | FTA | |
|---|---|---|
| 分析方向 | 自下而上(从组件到系统) | 自上而下(从事故到原因) |
| 适合阶段 | 详细设计阶段 | 概念设计 + 安全论证 |
| 优点 | 覆盖全面,不遗漏组件 | 逻辑清晰,直接对焦顶层安全 |
| 缺点 | 可能陷入细节,看不清全局 | 依赖分析者对顶事件的定义,可能遗漏 |
| 在MASS认证中 | 用于子系统/设备级别分析 | 用于系统级/全船安全论证 |
两条线要串起来用:
FTA定义"什么事绝对不能发生" → FMEA检查"每个组件坏了会不会导致那件事" → 两条线交叉验证。
2.3 SIL分配:安全完整性等级
这是什么?
SIL(Safety Integrity Level)是IEC 61508标准提出的概念,用于量化安全功能所需的可靠性水平。
SIL等级 → 每小时危险失效概率 → 风险降低因子
SIL 1 < 10⁻⁵ ≥ 10
SIL 2 < 10⁻⁶ ≥ 100
SIL 3 < 10⁻⁷ ≥ 1,000
SIL 4 < 10⁻⁸ ≥ 10,000
在MASS中的含义:
假设通过FTA分析,确定"自动避碰功能"如果失效,在最坏情况下可能导致人员伤亡。那么根据风险降低需求,可能需要该功能达到SIL 2或SIL 3。
SIL分配不是拍脑袋,而是通过风险图法(Risk Graph)或LOPA(保护层分析):
风险图法四问: Q1: 暴露于危险的时间比例是多少? → 极少 / 偶尔 / 经常 / 持续 Q2: 能否避免危险? → 几乎肯定能 / 可能能 / 几乎不能 Q3: 后果严重程度? → 轻微伤 / 重伤 / 死亡 / 多人死亡 Q4: 发生频率? → 极低 / 低 / 中 / 高 → 四个答案在矩阵里一查 → SIL等级就出来了
验船师审SIL分配最容易被忽悠的地方:
❌ "我们的系统肯定能达到SIL 3"——你做了什么分析支撑? ❌ "因为其他船也是SIL 2,所以我们也SIL 2"——风险场景不同,不能照搬 ✅ 关键要看:有没有做系统性的风险分析?SIL分配是否有可追溯的分析链条?
三、MASS认证工具包(二):功能等效验证三件套
说完了"评估设计是否安全",下一个问题是:你怎么证明你的船实际运行起来真的安全?
这就是功能等效验证(Functional Equivalent Verification)——MASS Code的核心要求之一。
MASS不需要你证明自己的船"比传统船更安全"(这是不可能的)。它要求你证明:你的自主系统实现的每一层安全功能,在效果上等效于传统船舶由人实现的安全功能。
验证手段有三件:仿真→实船→运营。
3.1 仿真测试(Simulation)
什么时候用?
- 系统开发阶段
- 无法在实船上安全复现的场景(比如极端天气下的避碰)
- 大量测试用例的批量运行
仿真分四个层级:
| 层级 | 内容 | 举例 |
|---|---|---|
| MIL(模型在环) | 纯软件模型之间的交互测试 | 感知算法+决策算法在虚拟环境中跑 |
| SIL(软件在环) | 真实软件在仿真环境中运行 | 实际的导航控制软件接入仿真传感器数据 |
| HIL(硬件在环) | 真实硬件接入仿真环境 | 真实的控制器硬件接收仿真输入,输出到仿真船舶 |
| VIL(船舶在环) | 仿真场景+真实船舶系统 | 靠港状态下,仿真生成航行场景输入到实际船舶系统 |
FMEA和仿真的关系:
FMEA找出了"XX传感器卡死在当前值"这个失效模式 → 仿真注入这个故障 → 验证系统是否能检测到并切换到备用传感器 → 这就是"验证闭环"。
3.2 实船试验(Sea Trial)
仿真跑得再好,最终还是要上实船。 因为总有一些东西是仿真不了的:
MASS实船试验的特别注意点(与传统试航的区别):
| 传统试航 | MASS实船试验 |
|---|---|
| 验证是否符合规范的最低要求 | 验证设计的安全假设是否成立 |
| 标准化测试项目 | 需要在FTA/FMEA驱动下定制测试场景 |
| 试航一次通过就完事 | 可能需要多轮迭代验证 |
| 关注船舶性能 | 关注系统在失效条件下的行为 |
实船试验的一个重要原则: 不是"试试看能不能用",而是"验证风险分析中的假设是否成立"。
3.3 运营数据验证(Operational Data)
这是MASS认证特有的——因为目标型规则下,你永远不能说"设计阶段已经把所有风险都考虑完了"。
运营数据验证的逻辑:
设计阶段:基于假设做了FTA和FMEA ✅ 实船试验:在受控条件下验证了这些分析 ✅ ↓ 投入运营后: → 持续采集运行数据 → 对比实际运行和设计假设 → 如果发现偏差 → 更新风险评估 → 如果必要 → 修改设计
需要采集的关键数据:
| 数据类型 | 用途 |
|---|---|
| 传感器原始数据 | 验证感知系统在实际环境中的性能 |
| 决策系统日志 | 评估算法在实际场景中的行为是否符合预期 |
| 失效/异常事件记录 | 验证FMEA中预测的失效频率是否准确 |
| 人工干预记录 | 评估自主系统的"独立运行能力" |
| 维护记录 | 评估硬件可靠性衰减是否在设计假设范围内 |
验船师审查运营数据的关键问题:
"你的数据采集计划是否覆盖了所有在FTA/FMEA中识别的关键风险因素?"
"你有没有定义'异常'的阈值?什么情况下需要回溯?"
四、EMSA RBAT框架:一套完整的方法学体系
前面用FMEA、FTA、SIL、仿真、实船、运营数据把MASS认证的拼图说了一遍。但这些拼图之间是什么关系?按什么顺序来?——这恰恰是行业最缺的东西。
EMSA(欧洲海事安全局)的RBAT(Risk Based Assessment Tool)就是来解决这个问题的。
4.1 RBAT是什么?
RBAT是EMSA委托DNV开发的一套结构化方法论+配套软件工具,专门用于MASS的初步设计安全审批。它不是另一套规范,而是告诉你"怎么审"的工作方法。
核心思想:在没有MASS特定规则的情况下,用**替代设计方法(Alternative Design Approach)**来确保安全——用系统化的风险评估来替代规则合规性检查。
4.2 RBAT五步方法论
第一步:定义自动化用途 │ 明确:船舶的哪些功能采用了自动化/自主技术? │ 产出:功能自动化清单 + 人机功能分配表 ↓ 第二步:执行危险分析 │ 方法:HAZID(危险识别)+ HAZOP(危险与可操作性分析) │ 产出:危险登记表 + 事故场景清单 ↓ 第三步:评估缓解措施 │ 方法:Bow-Tie分析 / 保护层分析(LOPA) │ 产出:风险控制策略 + 安全屏障体系图 ↓ 第四步:实施风险控制 │ 将第三步确定的风险控制措施转化为具体的: │ ① 设计变更 ② 操作程序 ③ 应急响应计划 ↓ 第五步:综合评估与验证 │ 把前四步的结论,用仿真+实船试验+运营数据验证 │ 产出:安全论证报告(Safety Case)
4.3 RBAT和传统方法的根本区别
| 传统方法 | RBAT | |
|---|---|---|
| 出发点 | "这条规则你遵守了吗?" | "这个设计安全吗?你能证明吗?" |
| 安全目标 | 隐式(藏在规范条文里) | 显式(第一步就要定义清楚) |
| 一致性 | 规范统一,全球一致 | 依赖方法论指导下的一致性 |
| 适应新技术 | 慢(需要修订规范) | 快(方法论不变,新技术进来只是换分析对象) |
| 审批透明度 | 高(规则明确) | 中(取决于审批者对方法论的理解) |
4.4 RBAT对CCS验船师的启示
RBAT最值得CCS验船师参考的不是软件工具本身——那是欧盟自己用的——而是它的方法论框架:
- "安全目标层次结构":RBAT把"船舶安全"这个大目标逐层分解为可操作的子目标,每个子目标都可以用具体的分析工具来评估。这个"拆目标"的方法可以直接用到CCS的MASS审图指南里。
- "功能分配"前置:RBAT的第一步就是"人机功能分配"——哪些由人做、哪些由系统做、哪些需要远程操作员做。这不是技术问题,但是后续所有风险评估的前置条件。
- 方法论闭环:不是各管各的——FTA找顶事件 → FMEA找失效模式 → HAZOP找偏差 → Bow-Tie画屏障 → SIL定安全等级 → 仿真/实船/运营验证闭环。每一步的输入是上一步的输出。
五、实战:一个完整的MASS认证评估工作流
下面用一个真实的MASS项目场景,把这篇文章的所有工具串起来。
场景: 某船东要认证一艘DOA 2级(远程控制)的沿海货船。
阶段一:概念设计 → 用RBAT框架
第1步:定义自动化用途 → 该船在开阔水域由岸基远程操作中心控制 → 靠港和狭窄水道由船上人员接管 第2步:Hazard Identification → 识别项层危险:通信中断、远程操作员态势感知不足、接管失败...
阶段二:详细设计 → FTA + FMEA + SIL
FTA(自顶向下):
顶事件 = "通信中断导致船舶失控"
├── 卫星通信链路失效
│ ├── 硬件故障(天线、调制解调器) → 进FMEA
│ └── 卫星覆盖盲区
├── 岸基系统失效
│ └── 电源、服务器、网络 → 进FMEA
└── 网络攻击 → 进UR E26/E27
FMEA(自底向上): 通信系统的每一个组件 → 失效模式 → 影响 → 缓解措施
SIL分配: 通信系统需达到SIL 2 → 要求冗余设计 + 故障检测时间 < 10秒
阶段三:验证 → 仿真+实船+运营
仿真测试: - 注入通信中断故障 → 验证系统是否能检测到并安全降级 - 模拟卫星覆盖盲区 → 验证常规通信和备用通信的自动切换 实船试验: - 真实海域中切断主通信链路 → 验证应急通信的实际切换时间和可用性 - 远程操作员和船上人员的实际接管演习 运营数据: - 每航行记录通信中断事件次数和时长 - 如果实际中断频率超过FTA中假设的频率 → 必须回溯和修订
六、给三个角色的一句话
| 角色 | 该记住什么 |
|---|---|
| 船东 | 不要再问"我的船需要满足什么规范"——你要问的是"我的安全论证怎么做" |
| 设计单位 | FMEA不是交报告的负担,是你设计缺陷的最后一堵墙——趁早做、仔细做 |
| 验船师 | 从"会不会背规范"变成"会不会审论证"——这不是被动的,是你职业竞争力的升级 |
七、一个警示
最后说一句不太好听的实话:
目前全球航运业的"风险评估能力"严重不足。
FMEA、FTA这些工具在核电、航空、汽车行业已经用了三四十年了,有成熟的标准、培训体系和质量控制流程。
而航运业呢?大部分验船师没受过系统的方法论训练。设计单位做FMEA常常是"为了交报告而做",不是真正为了发现设计问题。
MASS Code的落地,最大的瓶颈不是技术,是"有没有足够的人知道怎么做风险评估"。
这就是为什么方法学建设要"急需加速"。
