摘 要

介绍分析船用可编程电子系统评估的概况，着重研究国际船级社（IACS）提出UR E22对可编程电子系统船上使用和应用要求以及中国船级社（CCS）对船用软件安全及可靠性要求。根据不同安全要求分析船用设备安全级别，并对于不同级别系统就评估过程具体技术和方法进行研究。相关研究对于开展船用可编程电子系统安全相关后续工作具有理论意义和实际价值。

【关键词】船用系统 安全相关系统 软件评估 UR E22

伴随船舶智能化的不断推进， 利用计算机系统和自动化装置部分代替或直接取代人工操纵和管理船舶的比例越来越高。船舶自动化能保证操作安全无误，提高船舶营运经济效益。船舶自动化主要包括轮机自动化、导航自动化和舾装自动化三个方面。越来越多人工智能设备运用在船舶本体运行、船舶与港口之间进出港通讯、船舶与船舶卫星通讯大数据传输。全球航运业也正在面临越来越多的运用各种智能系统所带来的挑战和风险。为了应对这一安全挑战，世界和各国船级社需要对船舶计算机系统软件提出统一的安全及可靠性认证技术要求，以确保船舶的安全航行，不产生对环境、人员和财产有潜在危险，确保系统正常运行的导则，提出以功能安全为基础的UR E22导则 《可编程电子系统船上使用和应用》。中国船级社在船舶智能化方面开展了深入研究，也在船用软件安全及可靠性认证技术项目上取得了进展，针对船用安全软件，提出了《船用软件安全及可靠性评估指南》。

1 UR E22要求

ICAS于2000年在IEC 61508的基础上，率先提出UR E22草稿。UR E22的标准补充了现有UR E10硬件测试标准与软件要求。可编程电子系统的可靠运行系统功能连续性和安全性需要适合的软件。对于软件评估的新要求涉及到质量保证，模块级测试和系统级测试，并与集成和故障模拟相关。

随后，应无线技术发展，船用设备在使用无线作为通讯方式的应用范围越来越多。考虑到船级社入级安装中无线技术的适用性和引入合适的通用要求（UR），支持一种有效的通用方式对无线技术进行评估。该评估方式能够被各国船级社通用。

-评估哪些系统无线技术可以适用于入级安装；

-形成一个的通用要求，允许一种通用的评估方法针对船上无线技术的使用，包括：

-在必要情况下，明确规定安全相关应用的任何限制，并且论证限制；

-涵盖性能、测试和评估的要求；

-强调相关的危害，对整体安全的影响；

-反映了目前技术和最佳实践；

-通过考虑服务影响，允许应用未来的技术；和

-确保与UR E10，型式认可测试规范的一致性。

上述要求适用于船舶基于计算机系统的设计、施工、调试以及维护，这些系统需要软件实现其功能。要求针对软件的功能和硬件对软件的支持。这些要求应用于使用计算机提供控制、报警、监控、安全或内部通讯功能，而这些应满足船级社的要求，如图1所示。

UR E22首先对系统分类提出要求，根据影响和功能，将船用可编程系统分为3类，即I类、II类、III类

I类设备。该类影响指系统的失效不会对人员的安全、船舶的安全和/或环境危害。典型系统功能包括信息/行政任务监控功能；

II类设备。该类影响指系统的失效最终会对人员的安全、船舶的安全以及和/或环境危害。典型系统功能包括监视和报警功能、-对保持船舶处于正常运营和起居状况、所必要的控制功能；

III 类设备。该类影响指系统的失效会立即对人员的安全、船舶的安全和/或环境危害典型系统功能包保持船舶推進和操舵的控制功能、船舶安全功能；

其次，UR E22提出了在各个阶段厂商应提交下列材料。厂商应按8个阶段准备对应的证明材料，针对项目生命周期存档或经船级社见证：

（1）质量体系证明文件，包括：软件质量计划、检查由分销商供应的部件（仅对硬件）、生产中的质量控制、软件的可追溯性、最终的试验报告；

（2）硬件和软件说明，包括：软件说明、硬件说明、仅针对安全相关功能的故障分析；

（3）软件试验证明文件，包括：证明软件试验依据质量计划进行的文件、分析安全相关功能的可编程程序是否存在并得以遵守；

（4）硬件试验，包括：按统一要求E10进行试验；

（5）软件试验，包括：模块试验、子系统试验、系统试验；

（6）性能试验，包括：集成试验、故障模拟、工厂验收试验（FAT）；

（7）船上试验，包括：完全系统试验、集成试验；

（8）修改，包括：修改后的试验。

目前，建议III类设备应由厂方提交供CCS批准，II类设备应由厂方准备供CCS备查：

软件描述文档、软件模块测试计划、软件模块测试报告、软件子系统测试计划、软件子系统测试报告、软件系统测试计划、软件系统测试报告。

而与船用可编程电子设备相关的性能测试，建议由厂方准备测试活动，验船师现场参加目击试验：

集成测试、故障模拟测试、工厂验收测试（FAT）。

2 中国船级社要求

中国船级社（CCS）在“船用软件安全及可靠性认证技术”研究过程中，于2015年7月1日发布《船用软件安全及可靠性评估指南》。该指南是针对船用计算机系统中软件的安全性及可靠性进行评估的指导文件，对船用计算机系统软件的软件开发、软件测试、系统认证、设备生产、运行维护提出了安全性及可靠性方面的具体技术要求。

同时，指南对与船用可编程系统软件相关的硬件提出了相应的指导要求。因此，产品和系统研发时，指南对硬件的要求应与产品和系统本身的其他技术要求结合进行。指南按照计算机系统的失效对船上环境产生的危害程度、人员的安全和船舶的安全，对船舶计算机系统进行分类，即：Ⅰ类、Ⅱ类和Ⅲ类系统。在质量体系要求方面，结合软件发的特点，厂商应建立并实施ISO9001 或等效标准的质量管理体系并持有有效证书。Ⅱ类、Ⅲ类系统的制造厂还应满ISO9000-3 的适用要求。对软件质量计划、生产中质量控制、最终的产品或系统试验报告、软件生命周期的可追溯性和软件配置管理提出了指导要求。同时，对各阶段和环节提出了具体要求，方便船舶厂商建立并执行符合指南要求的软件开发质量保证体系。

指南对系统生命周期划划分五个阶段：概念阶段、需求阶段、实现阶段、验证阶段和运行阶段，同时对各阶段之间的关系和要求进行明确要求。针对软件生命周期的全生命过程管理和控制，该指南对从软件项目开始启动到系统永久停用期间的各阶段活动进行管理控制，包括系统需求、软件开发、软件测试、软硬件集成、系统安装和运行修改等各阶段具体要求，同时推荐了通用的软件开发生命周期模型（V模型）的相关内容。

V模型适合安全软件的开发和维护，对于各个阶段通过验证的方式，明确阶段任务和内容，并根据前一阶段的输出作为后一阶段的输入，通过验证的方式，确保各个阶段的方法和输出正确，即“做地对（do something right）”。而在后阶段通过确认测试，确认软件和系统实现的功能是系统需求规范和软件需求规范中明确的内容，最终系统和软件提供正确的功能和性能，即“做的对”（do right something），如图2所示。

3 软件安全生命周期

软件安全生命周期是从系统需求阶段，分配硬件、软件需求开始到软件停用为止的所有阶段和活动。包括了软件安全的要求规范、软件设计、软件开发、软件和硬件的集成、软件操作规程、软件运行期间维护规程、软件确认等阶段中各个活动和任务。

在整个软件安全生命周期中，各阶段进行软件生命周期活动，对应活动中都有应输入文件和输出文件。软件安全生命周期的文档化工作是整个安全相关系统和设备的软件开发过程中重要的部分，文档包括软件安全要求规范、软件架构/模块设计、软件模块/集成/系统/确认测试规范、支持工具和编码标准和开发工具的选择和管理等文件。各个文件既是该阶段活动的输出文件，也是下一阶段活动的输入文件。

从软件工程的定义，软件包括了源代码和文档两部分。源代码是船用可编程电子系统软件的基础，而文档则是整个项目维护和更改的參考资料。编制船用可编程电子系统安全相关软件文档时，应满足UR E22要求和IEC 61508-1规定要求：准确简明、容易理解、可达到预期目的并可存取和可维护。软件工程对于文档的要求，包括：完备性、正确性、简明性、可追踪性、自说明性和规范性。

4 数据通讯链路要求

考虑到船舶内设备通讯、主机辅机遥控，以及对设备和系统大数据的诊断分析，对船用系统设备的健康管理、故障诊断、设备维护更新等，数据通讯成了一个重要的信息传输交互的方式。针对II类或III类系统，采用共享数据通讯链路传输分布式可编程电子设备或系统间的数据，应满足以下要求：

-当一个单元失效导致数据传输方式丢失时，能自动保存数据传输；

-丢失数据通讯链路不影响通过替代方法操作基本服务的能力；

-能提供方法能够保护数据完整性和提供损坏或无效数据时及时恢复；

-数据通讯链路应能自检，链接本身能探测失效，并且链路节点能探测数据通讯失效。检测到失效应启动报警。

-在数据通讯失效的情况下，应能部署系统自检能力用以启动切换到完整安装的最低危害状态；

-数据通讯链路的特性应包括在足够的时间传输所有必要的信息并且能防止超载。

5 结束语

作为重要的区域乃至国际交通运输工具，船舶以及船用可编程电子系统通对社会运转以及人民民生作用巨大，影响深远。船用程电子系统评估研究体系，内容繁多，相关软件安全性可靠性研究工作，不仅有理论标准基础，还有其他各个行业领域的具体应用经验。通过研究IACS以及CCS船用软件可靠性和安全性，对船舶软件的项目管理和质量控制起到规范化标准化的作用，进一步推动我国船舶软件行业的优良发展。

参考文献

[1]UR E22 On Board Use and Application of Programmable Electronic Systems

[2]船用软件安全及可靠性评估指南GUIDELINES FOR SAFETY AND RELIABILITY ASSESSMENT FOR SHIPBOARD SOFTWARE中国船级社，2015.

[3]许大禹，张本伟，刘婉婷，张家铭，李旭阳，杜佳璐.海上单元集成软件系统认证标准及其技术背景分析研究[J].海洋开发与管理，2015（12）：68-73.

[4]谢亚莲，庄凌昀.安全相关产品的软件实现（一）-自动化仪表[J].自动化仪表，2012（34）：12.

作者单位

上海工业自动化仪表研究院 上海市 200233