《2006钢质海船入级规范》-自动化篇附录

基本要求第7篇第2章钢质海船入级规范

附录

船上计算机应用与检验指南

7-10

基本要求第7篇第2章钢质海船入级规范

目录

1通则1.1目的1.2适用范围1.3定义1.4系统分类1.5图纸资料

2基本要求…2.1一般要求2.2系统构造2.3用户接口2.4网络2.5数据和程序2.6故障安全2.7冗余设计2.8故障诊断与监测

3附加要求3.1监视与报警系统3.2安全系统3.3控制系统3.4保护装置3.5组合系统3.6备用设备3.7电源

4检验与试验4.1一般要求4.2产品检验4.3船上检验

7-11

基本要求第7篇第2章钢质海船入级规范

1通则

1.1目的1.1.1为实施CCS有关计算机及其计算机系统的要求，特制定《船上计算机应用与检验指南》(以下简称“指南”)。

1.2适用范围1.2.1本指南适用于CCS规范要求的船舶和海上设施上新安装的计算机系统，包括涉及航行和作业安全或者执行重要功能的计算机系统(如自动化系统用计算机系统、货物装卸计算和控制的计算机系统①等)与不影响航行和作业安全的计算机系统(如用于日常管理的计算机系统、闭路监视计算机系统等)。1.2.2对现有船上已安装的计算机系统进行初次检验时，均应对其操作手册进行复核，并按本指南4.3.3的要求重新进行检验。1.2.3对进行过重大改装的计算机系统，其检验应按照新装计算机系统的要求进行。1.2.4本指南不适用于国际海事组织(IMO)已有具体性能标准的现有设备或系统(如全球海上遇险与安全系统(GMDSS)、导航设备等)。1.2.5凡不在CCS入级的船舶上安装的计算机系统，如委托CCS检验，可参照本指南的适用部分进行。

1.3定义1.3.1本指南所用的主要定义如下：(1)计算机：系指用来储存和处理数据，进行计算或执行控制的一种可编程的电子装置。它包括基本的计算单元、输入和输出设备、控制单元以及程序和数据存储器。它可以是单机或由几个内部相连的单元构成，并且应包括由主机和小型机或微型机构成的可编程电子系统(PES)。(2)计算机系统：系指由一台或多台计算机、有关软件、外围设备和接口组成的系统。能够提供控制、报警、安全、监视四种功能。(3)接口：系指能够进行信息交换的连接点。它可以包括：——输入/输出接口(供与传感器和执行机构的内部连接用)；——人/机接口(如：显示单元、键盘、鼠标和专用控制器，以及供操作员和计算机之间进行通信联络的仪器)；——通信接口(使之能与其他计算机或外围设备进行串行通信和联网的装置)。(4)总线：系指在计算机与外围设备之间传递信息的通道。(5)节点：系指数据通信联络的内部连接点。(6)网络：系指计算机之间进行数据传递和交换的通信网。(7)外围设备：系指执行计算机系统辅助工作的设备，如键盘、显示器、数据存储器、打印机、传感器、控制元件、电源等。(8)软件：系指与计算机系统操作有关的程序、数据和文件，如应用程序(包括自检程序)、操作系统程序等。(9)组合系统：系指由内部互联的多个计算机系统构成须能集中处理信息、命令以及控制。如组合系统可以进行一个或多个下列操作：——航行控制(如：操舵、速度控制、交通监测、航行计划等)；____________________①参见本规范第2篇第2章附录1《装载仪》的要求。

7-12

影响——维修保养支持系统的安全、船舶的安全以及环——装载仪(人工输入)——监视和报警功能员的安全、船舶的安全以及功能——保持船舶推进和操舵的控员的安全、船舶的安全以及——安全功能系统功能——监视功能和日常管理功能——辅机控制系统——对保持船舶处于正常运营和起居状况所必要的控制——舱底水系统——内燃机的电子喷油器制功能——航程控制系统(影响——维修保养支持系统的安全、船舶的安全以及环——装载仪(人工输入)——监视和报警功能员的安全、船舶的安全以及功能——保持船舶推进和操舵的控员的安全、船舶的安全以及——安全功能系统功能——监视功能和日常管理功能——辅机控制系统——对保持船舶处于正常运营和起居状况所必要的控制——舱底水系统——内燃机的电子喷油器制功能——航程控制系统(包括定位系统)，当举例——日常信息处理和闭路监视系统——主推进装置遥控系统——探火和灭火系统——推进和操舵控制系统第7篇第2章钢质海船入级规范

——通信联络(如：无线电话、电传等)；——机器控制(如：电源管理、机器监测、燃油/滑油驳运等)；——货物操作(如：货物监测、惰性气体产生、货物装卸等)；——安全和保护(如：消防监测、消防泵控制、水密门等)。(10)冗余设计：系指当系统或设备发生故障时所采用的备用技术手段，依靠其能即刻参与相应的功能而使动作状态持续运行，或者通过恢复原有功能而使运行状态得以延续。(11)故障承受性：系指系统对故障的承受程度。尽管发生了有限数量的故障，但该系统还能确保系统主要的功能继续发挥作用。(12)保护装置：系指能对整定值的偏离产生响应和发出信号，进而能防止设备产生损害的装置。(13)重大改装：系指船上的计算机系统除外围设备外，发生下列之一或组合的情况导致功能和安全性能发生实质性改变：①计算机硬件配置的改变；②软件升级；③网络(包括拓扑结构)的更改。

1.4系统分类1.4.1根据所可能引发损害的程度，计算机系统可以分I类、Ⅱ类、Ⅲ类三种类别，见表1.4.1。该损害是直接由某一事件引发的，而非间接产生的损害。

计算机系统的分类表1.4.1类别

这些系统的故障不会对人员I境产生危害

——监视和报警装置——液柜容量测量设备这些系统的故障最终会对人Ⅱ环境产生危害——调速器——装载仪(实时读取)

——机械保护系统或设备——燃烧器控制系统这些系统的故障即刻会对人III环境产生危害其发生故障时无法转到手动控制以防止损害的进一步扩大

1.4.2根据船舶的不同类型和尺度，人员在危险区域工作持续时间的长短和频率，系统的复杂程度以及防止危害的可能性，对计算机系统的分类也有所不同。

1.5图纸资料1.5.1如CCS需要时，I类计算机系统可按照1.5.2的要求提交必要的技术资料备查。1.5.2II、III类计算机系统提交的图纸和技术资料应分别满足下列(1)至(4)的要求。

7-13

基本要求第7篇第2章钢质海船入级规范

(1)申请产品检验的计算机系统：①应将下列图纸和技术资料提交批准：(a)系统功能图；(b)软件功能框图；(c)硬件及外部设备配置框图；(d)系统说明书，至少应包括硬件配置、计算原理、数据库、软件(仅适用于III类计算机系统)及数据储存方式等；(e)用户接口说明书；(f)电源系统图；(g)系统自检说明书；(h)硬件和外部设备技术规格明细表；(i)型式试验大纲；(j)产品技术条件和标准。②应提交下列图纸和技术资料备查：(a)操作手册(包括故障处理说明书)；(b)备件清单。③CCS要求提供的其他技术资料(仅适用于III类计算机系统)。(2)申请新装和重大改装的计算机系统应将下列图纸和技术资料提交批准：①系统总体说明书(包括系统功能说明)；②船上供电系统图；③船上系统布置图；④试验大纲(包括系统功能试验、船上测试程序等)。(3)对现有船上已安装的计算机系统申请初次检验时，应提交下列图纸和技术资料审批：①系统功能总体说明书；②船上供电系统图；③船上系统布置图(如必要时)；④操作手册。(4)在建造后检验时应提交硬件和软件重大改动说明(适用时)备查。

2基本要求

2.1一般要求2.1.1计算机系统能在各种操作情况下(包括应急情况)，完成各种预定的功能。同时要特别考虑下列因素：(1)是否会对人员产生危险；(2)是否会对船舶和其设备产生损害；(3)是否会影响非计算机设备和系统的运行(如主机、辅机等)；(4)是否会对环境产生破坏；(5)是否会影响其实用性；(6)是否易于维修保养。2.1.2如计算机系统的处理时间比操作人员反应所需的时间短，即通过人工干预不能有效防止计算机引发的损坏时，则计算机应设有自动处理的措施。2.1.3计算机系统能在各种操作情况(包括应急情况)下确保：

7-14

基本要求第7篇第2章钢质海船入级规范

(1)执行必需的自动操作；(2)接受用户命令；(3)为用户提供正确信息。2.1.4系统应设计成在各种处理情况下为完成所有的功能提供足够的响应时间，其中需考虑最大负荷量和同时要求的最大工作量，以及网络的通信速度。2.1.5计算机系统应设计成能使无专业计算机知识的人员易于安全操作，为此可以提供下列三种措施中的一种来满足要求：(1)合乎逻辑且具有智能化的操作命令；(2)便于理解和操作的功能键；(3)按下列要求对操作人员进行相关的培训：①计算机系统应能在有效地操作和维护系统的基础上提供培训，该培训应包括在正常、不正常以及应急状况下的操作。培训过程中使用的用户接口应与真实系统相一致；②应提供辅助培训的材料(如培训教材)，并使之能在船上重复使用；③如在计算机系统中包括了培训模式，则当培训模式处于运行状态时，应清楚地予以显示；④当处于培训模式时，系统的运行应不受干扰和损害，且任何系统的报警或显示不应被禁止。2.1.6II、III类计算机系统应有保护措施，防止操作者无意或未经授权而对程序进行修改。2.1.7III类计算机系统的特征值和整定值等参数的改动应经CCS确认。

2.2系统构造2.2.1一般要求(1)计算机应设计成具有简单和便于操作的特性。软、硬件应设计成模块化且层次化，以易于对其内部部件进行维修保养和更换。(2)软、硬件应设计成能使构成的系统最大限度地承受故障。(3)计算机设备的选取应与受控系统的安全操作相一致。(4)计算机系统应对正常运行进行监测，并当出现不正常的情况时应发出报警。(5)计算机系统的设备及其电缆在实船安装时应根据有关要求进行，特别要注意最低限度地减少相关设备与船上其他设备间的电磁干扰。为此，计算机系统应与船上电网进行电气隔离。如还有扩展系统，建议相互之间也进行电气隔离。(6)计算机应尽可能不采取外部强制通风，但对于安装在特殊位置的计算机如不可避免，应采取必要的措施以确保其能正常工作。2.2.2硬件(1)硬件应设计成为能承受船上遭遇到的电源波动、环境温度变化、振动、潮湿、电磁干扰以及腐蚀等工作条件。针对计算机所服务处所的不同，对其环境和工作条件的要求可适当不同。如在某些处所硬件本身达不到上述要求，可对计算机及硬件采用特殊的布置，使其所安装的处所满足上述要求。(2)为便于维修和更换，硬件应由可替换的模块构成，并尽可能标准化和组件化。为减少备件的数量，应减少使用不同的模块。(3)每一可替换元件的构造应设计为可易于安全操作的形式。插入式模块和接头(包括电气连接方式)应有识别标记，且其设计应确保不会插错。同时还应保证在一旦插错的情况下也不会造成损坏和使系统误动作。(4)硬件系统中接插件的触点应有良好的接触性能为此可以采用不易氧化和耐腐蚀的材料制造。(5)系统的设计应保证系统发生的单一故障不会引起系统其他部分故障或整个系统的故障；该故障应限制在发生故障的模块中。必要时，可采用冗余设计(如采用备用设备)，该设备应能恢复其功能。(6)承担重要功能的系统应采用能永久存储的元件进行保存，以确保所应用的程序、特性曲线和极限值不因断电而丢失或出错。

7-15

基本要求第7篇第2章钢质海船入级规范

2.2.3软件(1)软件应具有保密性和封闭性。(2)操作系统程序应适应软件使用期内所有阶段期间所进行的开发、安装及其后的修改。(3)应进行软件的系统测试，并予以文件化。这些测试应包括在各种操作模式下(包括应急情况和在故障情况下的操作)的所有软件功能，重要的功能组合，运行特性，关联性以及使用要求等。如软件有所修改，其测试也应作相应的改动。(4)软件的设计应使操作者不能修改程序和与船相关的固定数据。

2.3用户接口2.3.l一般要求(1)计算机系统应设计成易于操作且友好的用户接口并尽可能按人体工程学原理进行设计和布局。(2)用户接口在使用过程中应能确保计算机系统安全有效地运行。(3)应显示计算机系统的操作状态并易于识别，并允许监测和控制同时进行。(4)应提供易于理解的计算机操作手册。该手册可以包括下列的描述：①功能键；②菜单说明；③各种工作状态的详细操作步骤，等等。(5)可采用适当的搜寻工具，以确保能迅速地获得数据。(6)当某一子系统发生故障或关闭时，发出的报警应在有关的操作人员所在处所予以显示。(7)应采用锁定键和设定口令的方式防止对程序、执行控制所需的专用参数进行非法的操作。2.3.2输入设备(1)输入设备应有明确定义的功能，并在各种状态下使用可靠和操作安全。所给出的操作指令应易于识别。(2)在所有的情况下，输入设备如键盘、轨迹球、鼠标、光电笔、触摸屏等的布置应设计成能防止被误触动，并对输入设备设定优先级别。(3)如一般的照明亮度不够，则应为控制平台(如驾驶室)单独提供照明。照明的亮度和显示亮度应是可调节的。(4)计算机操作键盘应满足下列要求：①键盘的布局和标识应满足经CCS接受的标准或者相关的国际标准；如必要时，键盘也可以根据其功能进行组合布置并作标识；②按照给出的命令，键的操作应正确有效；③对频繁执行的命令和必须要迅速执行的命令，应提供专用的功能键，其标识应易于识别；如同一键执行多项功能，则应能识别哪一种指定功能正处于运行的状态；④如借助键盘可以改变设备的操作或功能，则应采取适当措施限制非经授权的人员进行此类操作；⑤如某一键的操作可能引发危险的运行情况，则应采取措施防止由于单一键动作造成的故障，如可采用特殊的锁定键，或者采用两种或两种以上的键等等。(5)对于相互矛盾的控制干扰应采取互锁或报警的方式予以防止处于运行状态的控制应予以显示。(6)输入设备的操作应合乎逻辑并与被控制设备的动作方向相一致。(7)应采取措施，防止计算机处于非正常运行的状态。这些措施如：①确认输入数据的合理性；②锁定不要求输入的功能键；③在实施控制时对改变或删除输入的数据进行2次确认等等。

7-16

基本要求第7篇第2章钢质海船入级规范

(8)当处于控制的计算机工作站发生改变时，其功能键也应相应转换。在转换过程中应确保数据的传递不会产生故障或干扰。2.3.3输出设备(1)在显示器上显示的文本和图表的尺寸、颜色和分辨率应能在各种操作照明情况下从正常的操作员位置易于阅读。亮度和对比度应能根据周围的环境情况进行调节。(2)显示的信息应具有逻辑优先性。(3)如报警信息在彩色显示器上显示，即使在原始颜色故障时也应确保报警状态的清晰性。2.3.4图形用户接口(1)应根据功能的重要性和相关性，使显示的信息清楚和易于理解。屏幕上的内容应合理编排，它们的表示应限于只与用户有关的数据。(2)当采用一般性的图形用户接口时，则只应用对有关过程必需的功能。(3)在图形用户接口系统的每一操作模式中，报警应是优于其他信息的视觉和听觉报警，并能与其他的各种信息加以明显的区别。(4)在由同一操作员执行的控制室内的所有显示和控制功能应采用一个统一的用户接口，应特别注意符号、颜色、控制、信息优先权、布置。

2.4网络2.4.1网络系统应具备较高的数据传输率，以便能够增加计算机化的分段处理和缩短响应时间。(1)计算机系统中计算机相互之间的通信要求：在实船安装时，如计算机安装在靠近执行机构的位置，应适当提高计算机对周围环境条件的适应性要求(如环境和电磁兼容性(EMC))。在任何节点产生的数据，如需要时，同时也可以传送到其他位置和节点。(2)总线或网络应设计成使通信具有可传递和可控制的特性(一般可采用网络控制器)，并满足相关的通信协议。(3)如总线耦合器处于运行状态时，应有措施确保计算机的故障或者与网络的断开不会中断整个网络的数据传递。(4)计算机系统扩展的数据总线系统也应设计成单一发生的故障不会导致整个数据传递的瘫痪。如必要，对系统不同单元之间的数据传输线应进行冗余和去耦设计，且相关的数据传输线应尽可能远距离敷设。(5)不同系统之间的信号传递应采用抗干扰性的措施。(6)网络应尽可能按有关的国际标准①进行设计。

2.5数据和程序2.5.1数据处理(1)报警和动作值应根据他们的优先等级进行处理。报警和动作值(每采样周期内)的更新时间则根据故障承受的时间长短分成几个等级。①优先级1：如超过整定值则立即对船舶、机器和人员带来致命的损害，此类为报警信号和动作值的最高级别，如滑油压力过低，安全系统动作等。对此类报警应予以显示，且整定值和动作值应在不超过2s的时间间隔内进行更新。②优先级2：如超过整定值则很快会对船舶、机器和人员带来致命的损害，此类为报警信号和动作值的较高级别。如冷却水温度超高等。____________________①可参照国际电子与电气工程师协会(IEEE)的标准std.802.3-1985(ISODIS8802/3)、Std.802.4-1985(ISODIS8802/4)、Std.802.5-1985(ISODIS8802/5)等。

7-17

基本要求第7篇第2章钢质海船入级规范

对此类报警应予以显示，且整定值和动作值应在不超过30s的时间间隔内进行更新。③优先级3：虽超过整定值但并不很快对船舶、机器和人员带来致命的损害，此类为报警信号和动作值的较低级别，如冷藏集装箱故障报警跳闸等。对此类报警应予以显示，且整定值和动作值应在不超过300s的时间间隔内进行更新。(2)即使在计算机执行任务负荷过重(如船上的电源中断，非计算机系统正重新起动)的情况下或者发生了其他严重的操作错误，上述优先级1和优先级2要求更新的时间间隔也应能保持。上述情况不应引起报警信号的丧失。2.5.2数据和程序的储存(1)数据和程序的储存应满足下列要求：①保护装置和安全系统的数据和程序：在所有情况下程序、特征值和整定值应保存在固定式可编程序只读存储器(ROM)中。这些数据需经使用专用设备才能进行修改；②监测系统的数据和程序：特征值和整定值应读入固定式可编程序只读存储器(ROM)。最终的参数设定数据应储存到随机存取存储器(RAM)中，该存储器应设有专用电池至少供电100h。也可以采用其他无需专用电池即能保持数据的技术；③固定式可编程序存储设备：固定式可编程序存储设备包括ROM、可擦除程序只读存储器(EPROM)、电可擦除只读存储器(EEPROM)、磁泡存储器。(2)如将诸如船舶的航行日志和轮机日志，或报警列表和数据存储格式的约定等信息储存到外部存储设备中，应满足下列要求：①数据存储设备允许包括磁盘、硬盘、磁带、打印输出等；②要求设有措施确保所存储的数据不会被任意改动；③如使用大型存储装置，如磁存储介质，应提供适当的数据搜寻和定位程序。(3)没有储存到固定式可编程序存储器中的程序应记录在船上的存储介质中，并有防止数据丢失的保护措施。在适当的时候有可能可以利用船上现有的设备读取这些程序，但应有检查方法以确认数据读取的正确性。2.5.3数据通信(1)数据通信的可靠程度应根据不同的计算机系统类别和具体的使用情况来确定。(2)作为数据通信的电缆应具备适当的机械强度，并应防止机械损伤。(3)作为数据的通信线路应能够对其线路本身和网络连接点连续进行自检，一旦出现不正常情况应发出报警。(4)当同一数据通信线路用作两种或两种以上的重要功能时，该线路应采用冗余设计。冗余线路在敷设时应尽实际可能远离主线路。(5)冗余线路的转换开关不应干扰数据通信或功能的连续运作。(6)为确保数据在各种系统之间的正常交换，应尽可能采用标准接口。

2.6故障安全2.6.1一旦计算机系统失效，该系统应自动转换到最低的危险状态。2.6.2计算机系统的故障和重新启动不会造成进入非定义或危险状态的过程。2.6.3控制、报警和安全功能应设置成单一故障不会影响更多功能的失效。

2.7冗余设计

7-18

a

基本要求a第7篇第2章钢质海船入级规范

2.7.1根据设备的运行要求和系统配置的不同，对重要系统尽量采用冗余设计。2.7.2冗余设计可以采用下列方法：(1)两台或多台计算机之间的连接；(2)多通道技术；(3)故障承受性原则。采用上述三种方法的冗余设计不会影响原有功能的发挥。2.7.3冗余设计也可以采用下列方法：(1)功能的恢复主要是通过计算机或计算机系统相互进行自动或人工切换来完成；此时，原有功能的恢复一般不超过60s；(2)功能的恢复主要是通过更换模块来完成；此时，原有功能的恢复一般不超过30min；(3)功能的恢复主要是通过对设备进行修理来完成；此时，原有功能的恢复一般不超过3h。

2.8故障诊断与监测2.8.1计算机系统应具有自检功能。所有引发重要功能丧失的故障均应发出报警。2.8.2计算机系统中对影响重要功能且系统本身又无法显示的故障应由独立于计算机的设备显示。2.8.3计算机系统应能对程序的执行和数据的传递进行自动全面和周期性地检查。上述检查可以包括如奇偶性校验测试、验证是否满足预先设定的程序运行时间的测试、验证是否满足预先设定的程序服务周期的测试、对存储设备储存数据的验证等。2.8.4与数据处理相关的报警应优先于故障的检测。2.8.5如必要，对输入和输出的信号线路是否短路和断路也应进行监测。

3附加要求

3.1监视与报警系统3.1.1用于监视和报警系统的计算机系统至少应具有下列功能：(1)监视和报警系统的设计应使系统中出现的故障(如传感器、外围设备等故障)不会导致其所监视的设备和计算机系统以及监视和报警系统本身发生故障。(2)监视和报警系统应具有：①自检和监视功能：即能对系统自身的故障自动进行检测和报警或显示，当系统内部出现故障时(如电源故障、传感器故障等)应能发出报警并显示，且应与非内部故障的报警和显示有明显的区别。如只设置手动的自检操作设施，应经CCS确认是否满足上述功能要求。此外，还能自动、周期性地监视程序的执行和信息的传递；如必要，还能对数据传递阻断进行报警；②报警功能：在报警触发时应在2s时间内显示出报警通道；报警功能应优先于计算机其他操作动作，包括故障搜寻程序；③报警显示和报警应答：除满足本指南2.3.4(1)至(4)的要求外，报警和信息的显示还应满足下列要求：(a)报警和信息显示应能根据其功能特点，采用字母数字形式或者图形或图表的形式进行显示；(b)如除其他信息和图形外单独显示报警，则应提供报警列表显示以便操作员调用查看；(e)如报警可以分区显示，则可以提供可调用的分区报警显示；(d)对字母数字的显示、列表和图形显示应能迅速调用。其最大调用时间应满足下列要求：优先级1和2内的所有报警和报警列表显示≤2s；

7-19

b

基本要求b第7篇第2章钢质海船入级规范

较低级别的列表和图形显示≤30s；(e)每一报警应以视觉信号进行显示。该视觉报警还应能被消除，同时不会阻碍新的报警的产生。故障未消除之前，视觉报警应维持其视觉信号显示。同时，应答前后的报警信号应能明显区别，如采用闪光变为平光等。当故障消除后，报警通道应自动恢复到正常工作状态；(f)如对计算机的操作跨越几个工作站，则应显示哪一个工作站处于工作状态；(g)如采用符号来表示报警和信息内容，则应有对这些符号的解释性列表清单，并在整个计算机系统中均应统一：(h)如报警采用彩色显示器显示，按照上述(e)要求的报警显示状态应明显区别于无关的颜色；(i)应对屏幕(CRT)采取一定的措施(如进行反光处理或加装滤光器等)，以确保在光照条件下清楚地显示报警；(j)在驾驶室应能在夜晚光线条件下对显示器的亮度进行调节。如使用彩色显示器，不允许颜色发生失真；(k)在所有的光照条件下，字母数字显示和图形显示应在距显示1.5m处都清晰可辨；(1)如报警是以符号的形式在荧光屏或条形显示器(由发光二极管(LED)组成)上显示的，则应另备有一套显示设备。如彩色荧光屏、单色荧光屏、条形显示器、信号灯以及LED等；④监视和报警整定值修改功能：监视和报警整定值的修改，仅限于指定人员借助钥匙等工具，或使用专用代码等方法才能进行。在建造后检验时，应特别注意重要功能报警整定值的修改是否合理；⑤报警闭锁功能：在设备正常停机和起动中，出现偏离报警整定值时，应能切断报警线路；如采用手动报警闭锁时，则应用视觉信号清楚地显示。(3)当多个终端工作时，应有预防措施防止在不同的工作站同时对参数进行设置。(4)如监视货物用计算机、日常组织管理用计算机与监视和报警系统的计算机连接在一起时，应保证监视系统在所有运行状态下都能正常工作。(5)控制系统可与监视和报警系统组合在一起，但应满足本指南3.3的要求。(6)监视和报警系统用计算机系统应由独立的馈电线供电。当系统电源失电时，该系统应自动转接到计算机系统的备用电源，该备用电源的容量应至少保证不中断持续供电15min。

3.2安全系统3.2.1用于安全系统的计算机系统至少应具有下列功能：(1)安全系统应独立于其他系统。船舶操纵所必需设备的安全系统应尽可能设计成安全系统中出现的任何故障不会造成该设备的失效。(2)设备的保护和安全系统应分别采用不同的硬件和软件，其程序和整定值应存放在固定程序存储器中。安全系统的数据采集系统和处理系统应优先于其他系统。(3)根据机械设备的要求，安全系统应按照下列原则中的一项或多项进行设计：①工作电流监测原则；②故障安全原则；③多通道原则；④2/3电路选择原则。(4)如安全系统动作而使设备紧急停止运行，则须经人工复位后才能重新投入运行。人工操作的紧急停止装置应独立于计算机系统。

7-20

基本要求第7篇第2章钢质海船入级规范

(5)应能对安全系统的有效性进行验证。当安全系统运行时，应有其运行状态的显示。(6)安全系统所涉及数据的处理在任何情况下均应按照本指南2.5.1中的优先级1进行。(7)安全系统发生故障或瘫痪时应有显示，并发出报警。(8)安全系统用计算机系统应有独立的馈电线供电；如安全系统所保护的设备在系统失电时仍需运行，则安全系统应自动转接到计算机系统的备用电源，该备用电源的容量应至少保证不中断持续供电15min。

3.3控制系统3.3.1用于控制系统的计算机系统对船舶重要设备的控制应互相独立并应独立于其他计算机系统。3.3.2控制系统的程序应存放在固定程序存储器中。3.3.3如控制系统的计算机系统失效，则无论设备处于任一运行状态，均应能转换到人工控制，并应发出报警。3.3.4如控制功能可以从操作人员控制台(如键盘)上进行实施，应采取适当的预防措施如锁定键盘或设置通行密码，以确保未经授权的人员不能实施控制。3.3.5系统控制的实施任何时候仅能在某一控制站进行。对处于运行状态的控制站应有显示。

3.4保护装置3.4.1如在保护装置中使用了计算机系统，则应满足下列要求：(1)保护装置应设计成保护装置内部产生的任何故障不会引起船舶操纵所需设备的失效。(2)保护装置应尽可能分散布置，但应直接与被保护的机械设备相连。(3)如保护装置是集中布置的，应确保任何一个故障不会引起整个保护装置的失效。且故障应限制在保护装置发生故障的部分。发生故障时，对重要的机械设备应提供人工操作的措施。(4)可以利用船上现有的方法测试整定值和试验保护装置是否正常运行。应对保护装置的运行状态进行显示。程序和整定值应存放在固定程序存储器中。(5)保护装置应按照监视工作电流原则或闭合电路原则进行设计。并应提供冗余设备。该设备对船舶的操纵不会产生直接的影响。(6)如机械设备被保护装置停止运行时，应经人工确认复位后该设备才允许重新投入运行。(7)保护装置所涉及数据的处理应按照本指南2.5.1中的优先级1和2进行。(8)保护功能的失效或瘫痪应有显示。(9)如保护装置是分散布置的，其电源的供给应来自于被保护的机械设备的专用电路。(10)当机械设备的动力源独立于船舶电网时，应有措施确保能给保护装置不间断持续供电15min。这段时间过后，被保护的装置应处于安全状态，否则应配备备用电源。

3.5组合系统3.5.1组合系统的操作性能应至少等效于单独设备。如设有多功能的显示和控制，则应是双重的和内部可交换的。3.5.2组合系统的单一部件(单个模块、设备或子系统)的故障不致引发系统其他部分的功能故障，除非这些功能直接依赖于故障部分提供的信息。3.5.3系统装置部件间的连接故障不应影响它们的独立功能。3.5.4与组合系统相独立的操作替代措施应包括所有基本的功能。3.5.5当受控系统要求双套且处于不同的处所，则这一要求也适用于计算机系统。

7-21

基本要求第7篇第2章钢质海船入级规范

3.6备用设备3.6.1备用设备应设计成当控制正在运行的元件时所发生的任一故障不会导致整个备用设备的失效。3.6.2备用设备应尽可能分散布置，并直接与有关的设备相连。3.6.3如备用设备是集中在一起布置时，应确保某一控制故障不会导致正在运行的设备失效。如该故障会影响正在运行的设备，则应自动起动备用设备。备用设备的起动和控制元件的故障均应发出报警。3.6.4当系统电源失电后重新恢复时，或者控制元件失效后又重新恢复功能时，应有措施确保能顺序起动正在运行的设备和备用设备。3.6.5当控制元件失效时，不管系统处于何种状态均应能进行手动控制。手动控制应由相关设备的电源供电，且独立于其他的供电系统。

3.7电源3.7.1电源应设有故障监测并当出现故障时应发出报警。3.7.2如系统因失电会导致重要数据丢失时，应设有不间断备用电源至少持续供电15min。3.7.3计算机设备应有良好接地。3.7.4备用系统应单独供电，同时也应对馈电线路单独采取短路和过载保护。3.7.5在全船电网的失电会引起存储装置储存的内容丢失的情况下，为计算机系统提供服务的备用电源应满足下列要求：(1)备用电源的设计应考虑到电力平衡、开断时间、不间断供电及电网的质量，其容量还应满足与之相连的耗电系统的负荷要求。(2)应对备用电源的运行状态进行监测。发生故障时应发出报警。(3)配备有备用蓄电池的供电系统应装有直接由电网供电的两个互相独立的充电线路(器)。当其中任一充电线路(器)发生故障时，余下的充电线路(器)能继续工作。

4检验与试验

4.1一般要求4.1.1计算机系统的检验和试验应按CCS批准的图纸、技术资料以及批准的试验大纲进行。4.1.2所有产品试验均应记录成文件，该文件应包括试验方法、要求及试验结果。4.1.3根据计算机系统使用的具体情况，经同意可以增加或免做某些试验项目。

4.2产品检验4.2.1型式试验(1)对II、III类计算机系统进行型式试验，一般应有CCS验船师在场和在CCS授权的验证机构进行试验。(2)计算机系统的硬件设备，其型式试验项目应包括：①外观检查；②性能试验；③绝缘电阻测量；④能源波动试验；⑤电源故障试验；⑥倾摇试验；

7-22

耐电压试验；外壳防护试验；滞燃试验；电磁兼容性试验。