Mga Kumpidensyal na Salik ng Tao
Programa sa Pag-uulat ng Insidente
Ang Kawang-gawa
Aviation
Maritime
Initial Report
Isang napakalaking superyacht ang nakaranas ng bahagyang pagkawala ng kuryente habang nagsasagawa ng arrival manoeuvre sa isang masikip na daungan. Ilang kritikal na sistema ang nawalan ng operasyon: nag-reboot ang mga navigation display, nagdilim ang mga monitoring screen sa engine room, at pansamantalang nawalan ng situational awareness ang barko.
Naibalik ang emergency power sa limitadong antas, ngunit ang pagkaantala ay nagdulot ng kalituhan at nagpabagal sa maniobra.
Natunton ng imbestigasyon ng mga technical crew ang sanhi ng pag-palya sa isang remote software update sa galley refrigeration unit. Ang update ay sinimulan ng shore-side supplier nang hindi ipinapaalam sa yate. Habang isinasagawa ang update, isang hindi inaasahang pagtaas ng electrical load ang nag-udyok sa power management system na magbawas ng mga sistema sa isang sequence na hindi ganap na nauunawaan ng crew.
CHIRP Comment
Binibigyang diin ng insidenteng ito ang mga panganib na kaugnay ng pagsasagawa ng remote software updates sa mga sasakyang-dagat nang walang paunang abiso sa crew. Sa kasong ito, nawalan ng kuryente ang isang napakalaking superyacht habang nagmamaniobra matapos ang software upgrade sa isang hindi esensyal na sistema (galley refrigeration). Sa pamamagitan ng koneksyon nito sa integrated power management system, hindi tuwirang naapektuhan ng update ang mga mahahalagang navigation at monitoring system, na naging sanhi ng pag-offline ng mga kritikal na kagamitan sa isang high-risk moment habang nagmamaniobra sa daungan.
Ang pag-update ng mga kontrol ng makinarya o mga sistemang konektado sa kuryente habang ang barko ay nasa biyahe at pumapasok sa daungan ay nagdudulot ng hindi katanggap-tanggap na panganib. Ang mga sistemang ganito ay dapat ihiwalay gamit ang mga breaker o katumbas na mga pananggalang upang matiyak na ang mga hindi kritikal na kagamitan ay hindi magdudulot ng sunod-sunod na pagpalya na makaaapekto sa mahahalagang serbisyo.
Itinataas din ng insidente ang mga alalahanin sa cybersecurity. Bagama’t ang pangyayari ay tila hindi sinasadya, ang kahalintulad na resulta ay maaaring magmula sa isang mapanirang cyberattack. Ang remote access sa mga onboard system, lalo na ang mga hindi esensyal, ay nagdadala ng mga posibleng kahinaan kung ang mga cyber-defence at network monitoring ay hindi matatag. Dapat maging mulat ang mga crew sa mga panganib na ito at tiyakin na may naaangkop na mga hakbang na pananggalang.
Ipinapakita rin ng tugon ng crew ang mga hamon sa pamamahala ng hindi inaasahang pagpalya ng sistema. Bagama’t bahagyang naibalik ang emergency power, ang pagkakasunod-sunod kung saan ibinawas ang mga sistema ay hindi ganap na naunawaan, na nagpapakita ng pangangailangan para sa mas pinahusay na familiarisation at pagsasanay kung paano tumutugon ang power management system sa abnormal na electrical load at hindi inaasahang kilos ng sistema.
Itinuturo rin ng pangyayaring ito ang mas malawak na alalahanin hinggil sa pamamahala ng pagbabago. Ang mga software update at pagbabago sa sistema ay dapat ituring bilang pormal na pagbabago, na may malinaw na mga pamamaraan, kabilang ang risk assessment, abiso sa crew, at mga paghihigpit sa operasyon kung kinakailangan.
Nag-aalala rin ang CHIRP na ang pagbawas ng bilang ng crew at ang paglipat ng teknikal na kontrol at pagdedesisyon sa pampang ay maaaring magdulot ng hindi inaasahang mga kahihinatnan. Ang pag-alis ng pananagutan mula sa mga nasa onboard ay maaaring magpababa ng situational awareness at kakayahan ng crew na maagang matukoy o mapamahalaan ang mga umuusbong na panganib sa real time.
Dapat ipaalam ng mga supplier ang lahat ng software update nang maaga, upang mabigyan ang mga sasakyang-dagat ng pagkakataong suriin ang mga posibleng epekto sa operasyon at magpasya kung kailan ligtas itong isagawa. Dapat ding suriin ng mga operator ang integrasyon ng mga hindi kritikal na sistema sa mga mahahalagang sistema upang maiwasan ang single-point o cascading failures. Ang pagpapalakas ng cyber-defences at pagmomonitor ng mga networked access point, kahit para sa mga tila minor na sistema, ay makatutulong upang mabawasan ang panganib ng parehong hindi sinasadyang pagkaantala at sinadyang pag-atake.
Key Issues relating to this report
Kamalayan sa Sitwasyon – Agad na naapektuhan nang mag-offline ang mga kritikal na sistema, na pansamantalang nag-iwan sa crew na walang malinaw na kaalaman sa posisyon at estado ng barko. Ang biglaang pagkawala ng mga display at monitoring screen ay nagdulot ng kalituhan at nagtaas ng cognitive load, na nakaapekto sa pagdedesisyon habang isinasagawa ang isang kritikal na maniobra.
Pagkakampante – Maaaring nakaambag ang sobrang pagtitiwala sa automation.
Kakayahan – Hindi ganap na nauunawaan ng crew ang pagkakasunod-sunod ng pagbawas ng mga sistema sa panahon ng hindi inaasahang electrical load, na nagpapakita ng pangangailangan para sa mga drill o pamamaraan na tumatalakay sa mga hindi pangkaraniwang sitwasyon lampas sa karaniwang mga failures. Nagtitiwala ang crew na ang lahat ng sistema ay gagana nang hindi maaapektuhan ang mga kritikal na sistema. Ang pagtitiwala na ito ay nag-iwan sa kanila na hindi handa sa sunod-sunod na pag-palya ng sistema na dulot ng hindi inaasahang pagtaas ng load.
Komunikasyon – Ang shore-side supplier ay nagsimula ng software update nang hindi ipinapaalam sa yate. Ang kakulangan ng paunang komunikasyon ay naglimita sa kakayahan ng crew na magplano at mapanatili ang kontrol.
Pressure – Matinding tumaas sa panahon ng insidente. Bahagyang naibalik ang emergency power, ngunit kinailangan ng crew na pamahalaan ang maraming sabayang isyu sa ilalim ng pressure ng oras, na may kulang na pag-unawa sa kilos ng power management system. Ang stress na ito ay maaaring makasagabal sa wastong paghatol at makapagpabagal sa epektibong pagtugon.
Mahahalagang Aral
Kahit ang maliliit na update ay maaaring magdulot ng malalaking kahihinatnan sa dagat.
Sa mga regulators – Ipinapakita ng insidenteng ito ang kahalagahan ng pagtatatag at pagpapatupad ng malinaw na mga protocol sa komunikasyon sa pagitan ng mga supplier ng kagamitan at mga sasakyang-dagat. Ang hindi inaasahang software updates, kahit sa mga hindi esensyal na sistema, ay maaaring hindi sinasadyang makaapekto sa mga kritikal na sistema ng barko. Dapat tiyakin ng mga regulator na ang mga gabay at pamantayan ay nangangailangan ng paunang abiso at risk assessment bago ipatupad ang anumang remote updates.
Sa mga tagapamahala – Pinapaalalahanan ang mga manager na suriin kung paano naka-integrate ang mga hindi esensyal na sistema sa mahahalagang operasyon ng barko. Ang pag-unawa sa mga ugnayang ito at pagpapatupad ng mahigpit na mga pamamaraan para sa pagbabago ng sistema, maintenance, at software updates ay mahalaga upang maiwasan ang cascading failures. Ang pangangasiwa at beripikasyon sa mga kilos ng supplier ay makababawas sa panganib ng hindi sinasadyang pagkaantala.
Sa mga crew – Ipinapakita ng pangyayaring ito ang pangangailangan na mapanatili ng mga crew ang situational awareness sa lahat ng oras at maging pamilyar sa asal ng power management ng barko. Ang pagsasanay ay dapat sumaklaw sa mga hindi pangkaraniwan o sunod-sunod na pag-palya ng sistema, at dapat manatiling mapagmatyag ang mga crew sa panahon ng mataas na workload o komplikadong maniobra. Ang mabilis at may kaalamang pagkilos ay nakasalalay sa pag-unawa sa parehong teknolohiya at mga human factors na kasangkot.