Конфіденційний людський фактор
Програма звітування про інциденти
Благодійний фонд
Авіація
Морської
Початковий звіт
Під час маневру заходу в обмежену гавань на дуже великій суперяхті сталося часткове знеструмлення. Кілька критично важливих систем вийшли з ладу: навігаційні дисплеї перезавантажилися, екрани моніторингу у машинному відділенні згасли, і екіпаж на короткий час втратив ситуаційну обізнаність.
Аварійне електроживлення було відновлено в обмеженому обсязі, але збій спричинив розгубленість і затримав маневр.
Технічна команда під час розслідування з’ясувала, що причиною відмови стало віддалене оновлення програмного забезпечення на холодильному агрегаті камбуза. Оновлення було ініційоване береговим постачальником без повідомлення яхти. У процесі оновлення стався непередбачений стрибок навантаження, і система управління електроенергією почала поетапно відключати системи у послідовності, яку екіпаж не до кінця розумів.
Коментар CHIRP
Цей інцидент підкреслює ризики, пов’язані з виконанням віддалених оновлень програмного забезпечення на суднах без завчасного інформування екіпажу. У цьому випадку на дуже великій суперяхті сталося знеструмлення під час маневрування після оновлення програмного забезпечення не критично важливої системи (камбузного холодильного обладнання). Через підключення до інтегрованої системи управління електроенергією це оновлення опосередковано вплинуло на важливі навігаційні та моніторингові системи, внаслідок чого критичне обладнання відключилося в момент підвищеного ризику під час маневрування в порту.
Оновлення систем керування механізмами або систем, підключених до електроживлення, під час руху судна та заходу в порт створює неприйнятний ризик. Такі системи слід ізолювати за допомогою автоматичних вимикачів або еквівалентних запобіжних заходів, щоб гарантувати, що некритичне обладнання не зможе спричинити каскадні відмови, які впливають на критичні системи.
Цей випадок також викликає занепокоєння щодо кібербезпеки. Попри те, що цей випадок, схоже, стався ненавмисно, аналогічний ефект цілком може спричинити навмисна кібератака. Віддалений доступ до бортових систем, особливо некритичних, створює потенційні вразливості, якщо кіберзахист і мережевий моніторинг не є достатньо надійними. Екіпаж повинен знати про ці ризики й переконатися, що впроваджені належні заходи захисту.
Реакція екіпажу додатково демонструє труднощі управління непередбаченими відмовами систем. Хоча аварійне електроживлення було частково відновлено, послідовність, у якій системи відключалися, не була повністю зрозумілою, що підкреслює потребу в кращому ознайомленні та навчанні щодо того, як система управління електроенергією реагує на ненормальні електричні навантаження та несподівану поведінку систем.
Цей випадок також підкреслює ширше занепокоєння тим, як організовано управління змінами. Оновлення програмного забезпечення та модифікації систем слід розглядати як формальні зміни, із чітко визначеними процедурами, зокрема оцінкою ризиків, інформуванням екіпажу та, за потреби, операційними обмеженнями.
CHIRP також висловлює занепокоєння, що зменшення чисельності екіпажу та передача технічного контролю й прийняття рішень береговим структурам може призводити до небажаних наслідків. Зняття відповідальності з тих, хто перебуває на борту, може знизити ситуаційну обізнаність і здатність екіпажу в режимі реального часу передбачати або управляти виникаючими ризиками.
Постачальники повинні завчасно повідомляти про всі оновлення програмного забезпечення, щоб судно могло оцінити можливі операційні наслідки й вирішити, коли проводити оновлення безпечно. Оператори також мають переглянути інтеграцію некритичних систем із життєво важливими системами, щоб запобігти відмовам за принципом «єдиної точки» або каскадним відмовам. Посилення кіберзахисту та моніторинг мережевих точок доступу, навіть для, на перший погляд, другорядних систем, допоможе зменшити ризик як випадкових порушень роботи, так і навмисних атак.
Фактори, що стосуються цього звіту
Ситуаційна обізнаність − Ситуаційна обізнаність одразу постраждала, коли критично важливі системи відключилися, і екіпаж тимчасово не мав інформації про позицію та стан судна. Раптова втрата дисплеїв і моніторингових екранів спричинила розгубленість і збільшила когнітивне навантаження, що вплинуло на ухвалення рішень під час критичного маневру.
Недбалість − Надмірна залежність від автоматизації могла відіграти свою роль.
Можливості − Екіпаж не до кінця розумів послідовність, у якій системи відключатимуться під час непередбаченого електричного навантаження. Це вказує на необхідність навчань або процедур для нетипових ситуацій, які не зводяться до стандартних відмов. Екіпаж покладався на те, що це не позначиться на критичному обладнанні. Таке покладання залишило їх непідготовленими до каскадних відмов систем, спричинених несподіваним стрибком навантаження.
Комунікація − Береговий постачальник ініціював оновлення програмного забезпечення, не попередивши яхту. Відсутність завчасного інформування обмежила здатність екіпажу планувати та зберігати контроль.
Тиск − Тиск різко зріс під час інциденту. Аварійне електроживлення було частково відновлено, але екіпажу довелося під тиском часу одночасно вирішувати кілька проблем, маючи неповне розуміння поведінки системи управління електроенергією. Цей стрес міг погіршити здатність до оцінки ситуації та уповільнити ефективне реагування.
Основні висновки
В морі навіть «дрібне» оновлення здатне призвести до серйозних наслідків.
Регулюючі органи: Цей випадок показує, наскільки важливо встановити й реально дотримуватися чітких правил комунікації між постачальниками обладнання та судном. Оновлення програмного забезпечення без попередження, навіть у некритичних системах, можуть несподівано вплинути на критично важливі суднові системи. Регулюючі органи повинні забезпечити, щоб настанови та стандарти вимагали завчасного повідомлення та оцінки ризиків перед проведенням будь-яких оновлень.
Менеджери: Менеджерам слід ще раз оцінити, як другорядні системи пов’язані з ключовими операціями судна. Розуміння цих взаємозалежностей та запровадження суворих процедур щодо змін у системах, технічного обслуговування і оновлень програмного забезпечення є необхідними для запобігання каскадним відмовам. Контроль і верифікація дій постачальників допоможуть знизити ризик непередбачених збоїв.
Моряки: Цей випадок підкреслює необхідність для екіпажу постійно зберігати ситуаційну обізнаність і бути обізнаним із тим, як поводиться система управління електроенергією судна. Підготовка повинна включати нетипові й каскадні відмови, а у періоди високого навантаження чи складних маневрів екіпаж має залишатися максимально уважним. Швидке й обґрунтоване реагування залежить від розуміння як технічних аспектів, так і людського чинника, що впливає на ситуацію.