大型郵輪安全管理系統設計

于立國

（中船郵輪科技發展有限公司，上海 200137）

0 引言

郵輪功能區域復雜，艙室數量眾多，人員密集，一旦發生事故且無法有效控制將會造成巨大的損失。因此，大型郵輪尤其注重保障人員安全、環境安全及船舶安全。而安全管理系統（Safty Management Control System，SMCS）可有效實現人員管理、火災、浸水和設備安全狀態監控，以及輔助設備監測等功能。船上的工作人員僅利用安全管理系統就能夠監控和處理所有緊急情況，可有效收集數據、報警、設置操作命令及安全策略。

當前，國內在滿足安全返港（Safe Return to Port，SRtP）情況下的安全管理系統方面的研究剛剛起步，而大型郵輪的安全系統分布環境復雜、業務覆蓋范圍廣，僅有少量規范給出部分功能要求。本文結合安全返港的設計要求，對安全管理系統設計方法進行研究，建立符合安全返港的設計理念，確保系統能夠更高效地保障人身安全及郵輪生產活動。

1 相關設計要求

為提高船舶安全管理水平，國際海事組織（International Maritime Organization，IMO）、政府部門以及船級社對于接連發生的客船事故不斷進行分析和研究，使得安全系統的各種規范標準不斷迭代發展。特別是大型郵輪安全管理系統的要求不斷提高，相關安全標準的提高能夠直觀反應在SMCS上。

安全返港源自IMO在2006年8月所達成的MSC.216(82)號決議，并同有序撤離共同寫入國際海上人命安全公約（，SOLAS），以貫徹“船舶自身是其最好的救生艇”的理念。IMO隨后批準MSC.1/Circ.1369通函《客船發生火災和進水事故后系統能力評估的暫行解釋性說明》，這要求執行安全返港要求的船舶在設計過程中需要具備返港條件，并通過系統評估。SOLAS第II-2章規定了在火災和進水造成人員傷亡情況下安全返港需維持運轉的系統列表及系統設計標準。雖然 SMCS不屬于SRtP規則必須要求的系統，但SMCS需能夠執行替代相應的功能。因此，SMCS體系架構應該符合SRtP規則。

各個船級社也不斷針對規范標準出版了各自的指導文件，如英國勞氏船級社（Lloyd's Register of Shipping，LR）和挪威船級社（Det Norske Veritas，DNV）等船舶入級規范均對客船安全系統給出了一般的要求，同時也對水密門、照明和廣播等安全管理子系統的報警、控制和電源配置給出了詳細的規定。

2 安全管理系統接入業務分析

安全管理系統通過相關接口獲取全船所有與安全相關的細節信息，系統功能由其連接的不同業務系統共同構成。當前，安全管理系統均采用分布式硬件與模塊化體系相結合的類型，這有利于各個子系統信息的分布式共享，從而提供較高的靈活性與安全性。設計人員在設計安全管理系統時，首先需要對整個SMCS接入業務功能進行分析，進而才能對分布式系統的硬件布局、配電和通信進行整體設計。由于SMCS所接入的功能模塊有部分需要滿足SRtP及有序撤離的要求，有些業務雖然也承擔監測船舶的安全的任務，但并不屬于 SRtP中所提及必須滿足的情況。根據當前主流系統的資料，結合安全返港和有序撤離的要求，對安全管理系統需要接入的業務進行統計分析，見表1。

表1 安全管理接入業務表

表1列舉的系統基本滿足SMCS的監控要求，安全管理接入系統并不僅限于表1中列舉的15個。雖然表1沒有詳細列出系統設計所需的功能，但實現應用仍需依據各業務系統的接入數據。如，SMCS對應急切斷系統的監控不只針對子業務本身，還可通過接入信息執行通風系統、防火門、CO和廚房排風等動作命令。盡管決策支持系統、衛星系統和航行記錄儀等系統不需要滿足 SRtP及有序撤離的要求，但是其為安全管理系統間接提供支持決策。在設計過程中，對于需要滿足 SRtP及有序撤離的業務而言，需要著重考慮SMCS與各業務模塊的配電及通信網絡的冗余性。

3 滿足安全返港的安全管理系統架構設計

安全管理系統是一個龐大而復雜的系統，包括數據采集和處理、設備狀態監測、輔助決策和功能擴展等功能，可實現對火災、進水、設備和人員安全管理等相關信息的綜合處理。綜合安全功能要求通過傳感器實時采集安全管理系統所包含的設備運行數據信息，并實時存入系統服務器，經數據通信網絡傳入計算機以進一步分析處理。基于各艙液位數據、縱傾/橫傾數據和航行數據等信息，執行船舶穩定性程序評估及輔助決策，并傳送至用戶終端，從而實現所有與安全相關的系統和設備的控制和檢測。安全管理系統處理流程及對應的系統功能模塊圖見圖1，安全管理系統處理流程主要包括數據采集、數據傳輸、數據提取、狀態計算評估和用戶終端等5個部分，每一部分都與相應的安全管理系統的功能模塊一一對應。I/O接口模塊用于實現安全管理系統之間的信息和數據的交換，使通信網絡保障系統采集的數據能夠快速可靠地與其他接口進行聯系。控制器及輔助決策模塊將I/O接口模塊導入的信息通過智能算法進行數據計算分析，為系統需求提供決策支持。操作站作為用戶終端的執行元素，用于匯聚操作處理，能夠控制和監視整個系統的運行狀況。

圖1 安全管理系統處理流程及對應的系統功能模塊圖

本文設計的安全管理系統架構布局見圖2。其中，交換機之間構成光纖環網，不同交換機與服務器通過現場總線或以太網接入不同安全業務的 I/O接口。接口可通過串口與交換器連接，也可直接與服務器連接。SMCS的操作站通常設計在集控室、駕駛臺和安全中心，分布在各防火主豎區的通信網絡可提供冗余、安全和高效的數據傳輸。

圖2 安全管理系統架構圖

雖然SMCS架構中各功能模塊均由廠商提供，但是為保障系統設計能夠符合安全返港的要求，需要船舶設計人員認真執行各個功能模塊的布局、系統配電和通信網絡設計方案。

3.1 系統冗余配電設計

在安全管理系統設計過程中，由于SMCS系統不屬于船舶有序撤離場景的必要系統，故僅需考慮系統的所有組成模塊在 SRtP場景中的影響。根據MSC. 216(82)決議，SMCS設備的布置應確保損失不超過閾值，在受火災和進水的影響后，系統的其余部分應保持運行。

為滿足 SRtP的要求，安全管理系統的配電設計應為冗余形式。根據設計標準的不同，發電系統通常分為A和B 2個子系統，2個發電子系統各自能夠獨立運行。E系統為應急發電系統，當A和B 2個子系統中任何一個失效時啟用E系統。系統配電設計見圖3，防火主豎區內的系統能夠從3個發電（子）系統中的2個獲取冗余的電源，服務器1與服務器2通常布置于2個不相鄰的專用空間。服務器1通過A區電源、應急電源和UPS供電，服務器2通過B區電源、應急電源和UPS供電，通信網絡中的各個交換機均通過每個防火主豎區的正常電源和UPS冗余供電。通常情況下，服務器布置于駕駛室和集控室2個不同的I/O機柜中，I/O單元配電由 A和 B2個子系統供應。根據MSC.1/Circ.1369第13條規定，各系統有單獨的路徑保護，環形網絡、現場總線連接的控制和監控設備在與I/O單元連接時需使用防火電纜。

圖3 系統配電設計

后續設計需對 SRtP場景系統配電可能出現的損失進行分析。假設主配電系統評估正常，保證在SRtP場景中發生火災或單個水密艙室進水后3個發電（子）系統中的2個可用，且SMCS服務器1和服務器2在不受火災或洪水直接影響時同樣可用。如圖3所示，每個發電系統的邊界都通過虛線框出，配電系統的輔助設備（如變壓器、配電板和啟動面板等）均考慮在發電系統邊界內，可認為每個發電系統都是獨立完整的。SMCS系統配電設計要求見表2。由表2可得，當火災傷亡不超過閾值時，由于配電供應的冗余性，保障系統的正常運行不會受到影響。

圖3 網絡系統拓撲圖

表2 SMCS系統配電設計要求

3.2 通信網絡冗余設計

通信網絡作為連接整個安全管理系統的橋梁，由光纖主干網絡與總線網絡組成，負責I/O單元、控制器、服務器和操作站的數據傳輸。主干通信網絡通過分布在各主豎區的交換機形成光纖環網，光纖環網是最簡單高效的環網冗余拓撲結構。

SMCS服務器應分別布置于2個不同防火主豎區的安全中心和集控室中。在后續通信網絡設計過程中，重點對服務器的接口進行設計。在設計各功能模塊及接入業務的通信連接時要考慮系統接口的特殊性，有些系統直接與交換機網口連接，有些通過服務器接口連接。若接入業務同樣需要滿足SRtP的要求，就需要滿足接口網絡的冗余。這一類終端控制單元需采用獨立的以太網絡連接設計，見圖3。設計方法通常選擇環形拓撲網絡或者星型拓撲網絡結構，以保證為I/O單元和操作站提供冗余且安全的數據傳輸。

某郵輪交換機及服務器對系統單元的星型網絡拓撲連接示意圖見圖4。圖4（a）為串口連接方式，交換機通過串口與控制單元連接，呼叫聯絡系統采用單向連接。對于采用串口連接的系統，在設計過程中要協調不同廠家控制模塊與安全管理系統的連接，常規通過RS485和RS232等通信形式，采用Modbus和Profibus等通信協議，實現各系統之間的通信傳輸。圖4（b）為以太網連接方式，安全管理系統服務器通過以太網與各不同業務的控制單元連接，其中，應急關閉系統、火警監測系統、自動化系統和進水監測均需滿足 SRtP規則，采用雙向冗余通信連接，每個系統至少擁有2個主控單元并分別與不同的服務器連接。油霧和氣體泄漏檢測不屬于SRtP規則，故僅需要單向連接。

圖4 某郵輪交換機及服務器對系統單元的星型網絡拓撲連接示意圖

通信網絡設計需要分析 SRtP場景下通信網絡可能出現的損失。以主干通信網絡系統為基礎，在各個防火主豎區搭建環形架構網絡，根據不同安全子系統的類型依次搭建各個終端網絡，網絡的節點之間都具有自動切斷和有效隔離的功能。此外，不同區域通信設備的接口電纜必須是防火類型的。因此，這些組成設備在發生火災或單個水密艙室進水后，僅僅會對SMCS的2個接口造成影響，不會影響SMCS的通信，可保證整體通信網絡的有效運行。

4 結論

針對郵輪安全管理系統，本文給出了滿足安全返港要求的安全管理系統設計。該設計以相關國際法規及安全管理系統功能處理流程為指導思想，對安全管理系統覆蓋業務的基本接入要求進行了分析。針對系統不同模塊提出配電設計方案和通信網絡設計方案，并對各組成模塊的配電和通信網絡設計方案進行 SRtP場景損失分析。結果表明，本文的系統設計可保證安全管理系統的可靠性和安全性。另外，安全管理系統的設計在一定程度上需要關聯系統廠商的資源，隨著控制算法的優化，郵輪在進行綜合安全評估計算時會逐步擴展更多的關聯系統，安全管理系統的設計將會更加重要。