P1c3S10.docVIP

第10节 计算机系统 总则 适用范围 如果对船舶、货物、船员或旅客的安全为重要的任务采用了计算机且其须入级，则需附加地采用本节规范。 对其他规范和规定的参照 IEC 60092–504出版物“船舶电气设备”第504篇“专辑—控制和测量仪表”。 IEC 61508出版物“电气/电子/可编程电子安全相关系统的功能安全”。 对计算机系统的要求 计算机系统应满足在正常和非正常运行条件下的过程的要求。应考虑以下各项： — 对人员的危险 — 对环境的影响 — 危及技术设备 — 计算机系统的可适用性 — 在该过程中所有设备和系统的可操作性。 如果被监测系统之重要功能的过程时间短于监测者的反应时间，且因此而使通过手动干预防止损坏为不可能，则应设有自动干预设施。 计算机系统应设计成无需专门的预备知识就能使用。此外应为使用者提供相关的帮助。 要求的级别 一般要求 根据危险分析，对计算机系统赋予表10.1中所示的要求的级别。这一分级应取得GL的同意。表10.2列出了这一分级的例子。 此分级按某一事件所引起损坏的程度，分成5个级别。 只考虑由此事件所直接引起之损坏的程度，而不考虑任何间接发生的损坏。 对某一计算机系统赋予相应的要求的级别系按予期最大可能的直接损坏程度作出。 如果此危险增加，则除了本节所述的技术措施外，可能还要求组织措施。这些措施应取得GL的同意。 危险参数 以下各项可导致不同的要求分级，见表10.1。 取决于船舶的类型和尺度 — 受危及人员的数量 — 危险货物的运输 — 船舶航速。 在受危及区域中人员逗留的因素（相应于逗留持续时间和频度） — 很少 — 经常 — 很经常 — 始终 表10.1要求级别定义 要求的级别 危险的程度 对人员的影响 对环境的影响 技术危险 1 无 无 轻微的 2 轻微损伤 轻微的 小的 3 严重的不可恢复的损伤 重大的 相当严重的 4 丧失人命 极大的 重大的 5 大量丧失人命 灾难性的 损坏 表10.2要求级别的分级的例子 要求的级别 例子 1 维修用的支持系统 一般管理任务用的系统 信息和诊断系统 2 “脱机”的货物计算机 航行仪器 机械报警和监测系统 液舱容量测量设备 3 辅机的控制器 速度调节器 “联机”的货物计算机，已联网（料舱、吃水等） 对主机推进的遥控 探火系统 灭火系统 舱底水系统 综合监测和控制系统（MSR） 对液舱、压载和燃料的控制系统 舵控制系统 导航系统 航向控制系统（驱动和操纵系统） 机械保护系统/设备 4 锅炉和热油加热器用的燃烧器控制系统 电子喷射系统 5 包括定位系统的航向控制系统（如在一旦失效或故障时，为避免危险的手动干预不再有可能）。 危险的避免 为了评定避免危险的可能性，应考虑下列衡准 技术设备的运行具有或不具有人员的监测。 某一可能引起危险的事件随时间的发展，其危险的报警以及避免此危险的可能性。 出现危险状态的概率 这一评定在不考虑有保护装置的条件下进行。 — 很低 — 低 — 相对较高。 系统的复杂性 — 各种系统的集成 — 各功能特性的连接。 对某一系统赋予相应的要求分级应取得GL的原则上同意。 为符合要求分级而须采取的措施 为符合4和5类的要求而采取的措施， 对计算机设备和常规设备可要求分隔，或者对计算机设备可要求冗余、多样化的设计。 对程序和数据修改的保护 要根据要求的类别和系统的结构采取措施（见表10.3）。 计算机系统应对无意的或未经授权的程序和数据的修改进行保护。 对于大的运行系统和程序，经同意可采用其他存贮介质，例如硬盘。 程序内容和系统专用数据的重大修改，以及版本的变更应以资料记录，且必须可追踪。 注： 重大修改系指影响该系统功能和/或安全的修改。 对于4和5要求的类别的系统，所有的修改，也包括参数的修改均应提交批准。 表10.3 与要求的类别有关的程序和数据保护措施（举例） 要求的类别 程序/数据存储 1 建议采取保护措施 例如塑料磁盘、磁性圆盘等 2 对无意/未经授权的修改进行保护 例如缓冲的RAM（随机存取存储器）等 3 对无意/未经授权的修改和数据的丧失进行保护 例如EEPROM（电可擦可编程序只读存储器）等 4 用户不可能作任何修改 例如EPROM（电可编程序只读存储器）等 5 不可能作任何修改 例如ROM（只读存储器）等 表10.3中所列的程序和数据保护的例子可以通过软件和硬件中的附加措施来代替和支持，例如： — 用户名，标识号 — 有效性检查的编码信息，钥匙开关 — 在数据的通常使用时授权的赋值/对改变或取消数据的授权撤消 — 数据的编码和数据存取的限制，病毒保护措施 — 工作流程和存取操作的记录。 系统的结构 一般要求 计算机系统的技术设计由其所赋予的要求的级别确定。应确