Faktor Manusia yang bersifat rahasia
Program Pelaporan Insiden
Badan Amal
Penerbangan
Maritim
Laporan Awal
Sebuah superyacht berukuran sangat besar mengalami kehilangan daya sebagian saat melakukan manuver kedatangan ke pelabuhan sempit. Sejumlah sistem penting tidak berfungsi: layar navigasi melakukan reboot, layar pemantauan ruang mesin mati, dan kapal sempat kehilangan kesadaran situasional.
Daya darurat berhasil dipulihkan secara terbatas, namun gangguan tersebut menimbulkan kebingungan dan memperlambat proses manuver.
Hasil investigasi oleh tim teknis menunjukkan bahwa kegagalan tersebut dipicu oleh pembaruan perangkat lunak jarak jauh pada unit pendingin dapur (galley refrigeration). Pembaruan dilakukan oleh pemasok di darat tanpa pemberitahuan kepada kapal. Selama proses pembaruan, terjadi lonjakan beban listrik yang tidak terduga, sehingga sistem manajemen daya secara otomatis memutus beberapa sistem dalam urutan yang tidak sepenuhnya dipahami oleh awak kapal.
Komentar CHIRP
Insiden ini menyoroti risiko pembaruan perangkat lunak jarak jauh yang dilakukan tanpa pemberitahuan sebelumnya kepada awak kapal. Dalam kasus ini, superyacht mengalami kehilangan daya saat manuver setelah dilakukan pembaruan pada sistem yang tidak bersifat esensial (pendingin dapur). Karena sistem tersebut terhubung dengan sistem manajemen daya terintegrasi, pembaruan tersebut secara tidak langsung memengaruhi sistem navigasi dan pemantauan yang bersifat penting, sehingga peralatan kritis tidak berfungsi pada saat yang berisiko tinggi.
Melakukan pembaruan pada sistem kendali mesin atau sistem yang terhubung dengan jaringan daya ketika kapal sedang berlayar dan memasuki pelabuhan merupakan risiko yang tidak dapat diterima. Sistem semacam ini seharusnya diisolasi melalui pemutus arus atau pengaman setara, sehingga peralatan non-kritis tidak dapat memicu kegagalan berantai yang berdampak pada layanan esensial.
Insiden ini juga menimbulkan kekhawatiran terkait keamanan siber. Meskipun kejadian ini tampaknya tidak disengaja, dampak serupa dapat terjadi akibat serangan siber yang bersifat jahat. Akses jarak jauh ke sistem kapal, terutama sistem non-esensial, membuka potensi kerentanan apabila pertahanan siber dan pemantauan jaringan tidak memadai. Awak kapal perlu memahami risiko ini dan memastikan langkah perlindungan yang tepat telah diterapkan.
Respons awak kapal juga menunjukkan tantangan dalam menangani kegagalan sistem yang tidak terduga. Meskipun daya darurat sebagian berhasil dipulihkan, urutan pemutusan sistem tidak sepenuhnya dipahami, yang menegaskan perlunya peningkatan familiarisasi dan pelatihan mengenai respons sistem manajemen daya terhadap beban listrik abnormal serta perilaku sistem yang tidak terduga.
Peristiwa ini juga menyoroti isu yang lebih luas terkait manajemen perubahan. Pembaruan perangkat lunak dan modifikasi sistem harus diperlakukan sebagai perubahan formal, dengan prosedur yang jelas, termasuk penilaian risiko, pemberitahuan kepada awak, serta pembatasan operasional jika diperlukan.
CHIRP juga menyoroti kekhawatiran bahwa pengurangan jumlah awak dan peralihan kendali teknis serta pengambilan keputusan ke pihak darat dapat menimbulkan konsekuensi yang tidak diinginkan. Pengalihan tanggung jawab dari pihak yang berada di kapal dapat mengurangi kesadaran situasional serta kemampuan awak untuk mengantisipasi atau mengelola risiko yang berkembang secara waktu nyata.
Pemasok seharusnya mengomunikasikan seluruh pembaruan perangkat lunak terlebih dahulu, sehingga kapal dapat menilai potensi dampak operasional dan menentukan waktu yang aman untuk melaksanakannya. Operator juga perlu meninjau integrasi sistem non-esensial dengan sistem esensial guna mencegah kegagalan tunggal maupun kegagalan berantai. Penguatan pertahanan siber serta pemantauan titik akses jaringan, termasuk pada sistem yang tampak tidak penting, akan membantu mengurangi risiko gangguan baik yang tidak disengaja maupun yang bersifat serangan.
Isu-isu Utama yang berkaitan dengan laporan ini
Kesadaran Situasional — Kesadaran situasional awak langsung terganggu ketika sistem-sistem penting tidak berfungsi, sehingga mereka sementara tidak mengetahui posisi dan kondisi kapal. Hilangnya layar navigasi dan pemantauan secara mendadak menimbulkan kebingungan serta meningkatkan beban kognitif, yang berdampak pada pengambilan keputusan saat manuver kritis.
Kepuasan Diri — Ketergantungan berlebihan pada sistem otomatis kemungkinan berperan dalam kejadian ini.
Kapabilitas — Awak kapal tidak sepenuhnya memahami urutan pemutusan sistem saat terjadi lonjakan beban listrik tak terduga, yang menunjukkan perlunya latihan atau prosedur untuk skenario tidak biasa di luar kegagalan standar. Awak berasumsi bahwa seluruh sistem akan beroperasi tanpa memengaruhi sistem kritis, sehingga tidak siap menghadapi kegagalan berantai akibat lonjakan beban.
Komunikasi — Pemasok di darat melakukan pembaruan perangkat lunak tanpa memberi pemberitahuan kepada kapal. Kurangnya komunikasi sebelumnya membatasi kemampuan awak untuk merencanakan dan menjaga kendali operasional.
Tekanan — Tekanan meningkat tajam selama insiden. Meskipun daya darurat sebagian dipulihkan, awak harus menangani beberapa masalah sekaligus dalam kondisi waktu terbatas, dengan pemahaman yang belum lengkap terhadap perilaku sistem manajemen daya. Kondisi ini berpotensi menurunkan kualitas penilaian dan memperlambat respons efektif.
Poin-Poin Utama
Pembaruan kecil sekalipun dapat menimbulkan dampak besar di laut.
Bagi Pembuat Regulasi – Insiden ini menegaskan pentingnya penetapan dan penegakan protokol komunikasi yang jelas antara pemasok peralatan dan kapal. Pembaruan perangkat lunak tanpa pemberitahuan, bahkan pada sistem non-esensial, dapat berdampak pada sistem kapal yang kritis. Pembuat regulasi perlu memastikan bahwa standar dan pedoman mewajibkan pemberitahuan sebelumnya serta penilaian risiko sebelum pembaruan jarak jauh dilakukan.
Bagi Manajer – Manajer perlu meninjau kembali bagaimana sistem non-esensial terintegrasi dengan operasi kapal yang vital. Memahami keterkaitan ini serta menerapkan prosedur ketat terkait perubahan sistem, pemeliharaan, dan pembaruan perangkat lunak sangat penting untuk mencegah kegagalan berantai. Pengawasan dan verifikasi terhadap tindakan pemasok dapat mengurangi risiko gangguan yang tidak diinginkan.
Bagi Awak Kapal – Peristiwa ini menegaskan pentingnya menjaga kesadaran situasional setiap saat serta memahami perilaku sistem manajemen daya kapal. Pelatihan perlu mencakup skenario kegagalan yang tidak biasa atau berantai. Awak harus tetap waspada, terutama pada periode beban kerja tinggi atau manuver yang kompleks. Respons yang cepat dan tepat hanya dapat dicapai melalui pemahaman menyeluruh terhadap teknologi serta faktor manusia yang terlibat.