Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 61209:综合桥接系统(IBS)– 船舶导航系统的设计与性能要求
✅ 标准速览
IEC 61209 是规定船舶综合桥接系统(IBS)设计、性能和测试要求的国际标准。由 IEC 技术委员会 TC 80(海上导航与无线电通信设备及系统)编制,该标准定义了导航设备的功能集成 — 包括雷达、ECDIS(电子海图显示与信息系统)、自动舵、速度计程仪、回声测深仪、AIS(自动识别系统)和 GMDSS 通信系统 — 形成统一的驾驶台工作站。该标准支持 IMO MSC 64(67) 决议和相关 SOLAS 要求,确保综合驾驶台设计增强航行安全而不使值班驾驶员负担过重。
IEC 61209 是规定船舶综合桥接系统(IBS)设计、性能和测试要求的国际标准。由 IEC 技术委员会 TC 80(海上导航与无线电通信设备及系统)编制,该标准定义了导航设备的功能集成 — 包括雷达、ECDIS(电子海图显示与信息系统)、自动舵、速度计程仪、回声测深仪、AIS(自动识别系统)和 GMDSS 通信系统 — 形成统一的驾驶台工作站。该标准支持 IMO MSC 64(67) 决议和相关 SOLAS 要求,确保综合驾驶台设计增强航行安全而不使值班驾驶员负担过重。
🔌 一、IBS 架构与功能集成
1.1 集成的必要性
现代船舶驾驶台配备了越来越多的导航和通信系统。没有集成,值班驾驶员(OOW)必须在多个独立显示器之间分散注意力,每个显示器有自己独立的人机界面、报警和操作逻辑。IEC 61209 通过定义集成工作站概念解决了这一问题,将来自多个传感器的相关信息融合到一致的显示中,降低认知负荷,使值班驾驶员能够用更少的扫视保持态势感知。
该标准将 IBS 定义为一种系统组合,通过集成以下至少两项功能提供安全航行和船舶控制的集中功能:航线规划、航迹控制、导航数据显示、雷达/ARPA 信息和报警管理。完整的 IBS 通常将所有主要驾驶台系统集成到单一操作中心。
💡 工程直觉
IBS 的认知负荷效益是可测量的。IEC 61209 制定过程中引用的人因研究表明,在传统独立设备驾驶台上,值班驾驶员每分钟进行 40-60 次眼球运动在不同显示屏之间扫描。在具有信息融合的良好设计的 IBS 上,这减少到每分钟 15-25 次眼球运动 — 减少了 60%。然而,标准警告说,不良的集成(如杂乱的显示、不一致的报警优先级、不直观的菜单结构)可能抵消这些优势,甚至增加认知负荷。关键的设计原则是信息融合而非信息聚合:系统应向导航员呈现经过解释的态势,而非必须在大脑中融合的来自多个传感器的原始数据。
IBS 的认知负荷效益是可测量的。IEC 61209 制定过程中引用的人因研究表明,在传统独立设备驾驶台上,值班驾驶员每分钟进行 40-60 次眼球运动在不同显示屏之间扫描。在具有信息融合的良好设计的 IBS 上,这减少到每分钟 15-25 次眼球运动 — 减少了 60%。然而,标准警告说,不良的集成(如杂乱的显示、不一致的报警优先级、不直观的菜单结构)可能抵消这些优势,甚至增加认知负荷。关键的设计原则是信息融合而非信息聚合:系统应向导航员呈现经过解释的态势,而非必须在大脑中融合的来自多个传感器的原始数据。
1.2 核心子系统和集成级别
IEC 61209 定义了三个系统集成级别:
| 集成级别 | 描述 | 最少子系统 | 示例配置 |
|---|---|---|---|
| 级别 1 — 数据集成 | 来自多个来源的传感器数据被收集、关联并在共享显示系统上显示。数据共享但控制保持独立。 | 位置传感器(GNSS)、航向传感器(陀螺仪)、速度计程仪、回声测深仪 | ECDIS 连接到 GNSS/陀螺/计程仪,带雷达叠加 |
| 级别 2 — 功能集成 | 多个子系统的控制可从通用用户界面访问。面向任务的工作流程跨越多个子系统。 | 级别 1 + 雷达/ARPA、自动舵/航迹控制、AIS | 集成导航控制台,带雷达、ECDIS 和操控显示 |
| 级别 3 — 完全集成(面向任务) | 所有导航和通信功能可从单一工作站访问。信息展示根据当前任务(导航、靠泊、锚泊、应急)自适应调整。 | 级别 2 + GMDSS 通信、船舶控制(侧推、推进)、报警管理 | 带冗余工作站、任务自适应显示模式的完整 IBS 驾驶台 |
💡 二、性能要求和功能规范
2.1 关键功能要求
IEC 61209 为 IBS 建立了详细的功能要求。最关键的要求分为以下类别:
| 功能 | 要求 | 标准条款 | 验证方法 |
|---|---|---|---|
| 工作站人机工程学 | 所有控制必须从坐姿操作员位置可触及。主要显示器必须在 50,000 lux 环境照明(直射阳光)下从 1 m 距离可读。 | 第 6.2 条 | 使用校准照度计的照明明视度测试;可达范围测量 |
| 信息展示 | 导航信息必须按优先级排列:避碰数据(雷达、AIS)在主视野;航线监控数据(海图、位置)在次要视野;系统状态在第三级视野。 | 第 6.3 条 | 视野映射;操作员任务分析 |
| 报警管理 | IBS 报警系统必须符合 IMO MSC/Circ. 982 和 IEC 62923。报警分为:紧急(红色,立即行动)、警告(琥珀色,知晓)、注意(黄色,建议)。从事件到显示的报警最大延迟:≤ 2 s。 | 第 6.4 条 | 报警注入测试;使用校准计时器的定时测量 |
| 系统回退 | 任何集成子系统故障时,其余子系统必须继续独立运行。IBS 必须在检测到通信故障后 5 秒内自动回退到每个子系统的独立运行模式。 | 第 6.5 条 | 强制故障测试(断开通信链路);验证独立运行 |
| 数据完整性 | IBS 必须通过独立传感器之间的交叉校验验证传感器数据(如 GNSS 位置 vs. 雷达位置 vs. 航位推算位置)。超过规定阈值的数据差异必须触发报警。 | 第 6.6 条 | 注入差异传感器数据;验证报警生成和数据质量指示 |
| 记录 | 航行数据记录:至少位置、航向、速度和控制模式必须以不超过 1 s 的间隔记录。记录容量:最少连续运行 30 天。 | 第 6.9 条 | 数据提取和验证;耐久性测试 |
⚠️ 关键安全要求:故障回退
IEC 61209 最重要的安全条款是故障回退要求。IBS 绝不可形成同时使多个导航系统失效的单点故障。如果 IBS 处理器发生故障,每个连接的导航系统(雷达、ECDIS、自动舵)必须自动回退到其独立运行模式。标准规定此回退必须在 5 秒内完成且无需操作员干预。此外,任何具有独立法定或船级社认证的系统在集成到 IBS 后必须保持其认证功能。这意味着集成到 IBS 中的雷达必须仍能执行其 IEC 62388 型式认证所要求的所有功能,不受 IBS 运行状态影响。实际的工程含义是,IBS 集成层必须是一个”透明覆盖层”,增强但不取代也不降低每个组成系统的核心功能。
IEC 61209 最重要的安全条款是故障回退要求。IBS 绝不可形成同时使多个导航系统失效的单点故障。如果 IBS 处理器发生故障,每个连接的导航系统(雷达、ECDIS、自动舵)必须自动回退到其独立运行模式。标准规定此回退必须在 5 秒内完成且无需操作员干预。此外,任何具有独立法定或船级社认证的系统在集成到 IBS 后必须保持其认证功能。这意味着集成到 IBS 中的雷达必须仍能执行其 IEC 62388 型式认证所要求的所有功能,不受 IBS 运行状态影响。实际的工程含义是,IBS 集成层必须是一个”透明覆盖层”,增强但不取代也不降低每个组成系统的核心功能。
2.2 IBS 中的报警管理
IEC 61209 采用了 MSC/Circ. 982 和 IEC 62923 中编纂的 IMO 报警管理理念。IBS 报警管理的关键条款包括:
- 报警优先级排序:来自不同子系统的报警根据其对航行安全的影响分配统一的优先级。来自雷达或 AIS 的避碰报警具有相同的优先级,无论由哪个子系统生成。
- 报警去重:如果同一航行风险(例如与目标船只的碰撞航线)同时从雷达和 AIS 生成报警,IBS 必须呈现一个统一的报警,而非两个独立的报警。
- 报警记录:所有报警、操作员确认和系统状态变化必须记录在可审计的日志中,最小存储容量为连续运行 72 小时。
- 静音策略:IBS 必须提供声音报警静音功能,但不得允许永久静音关键报警。静音后仍未处理的报警必须在 2 分钟后再次响起。
🔬 三、安装、测试与未来趋势
3.1 型式认可和安装测试
IEC 61209 规定了 IBS 认证的综合测试体系:
- 型式认可测试:在制造厂对代表性 IBS 配置进行。包括所有集成功能的功能测试、故障模式测试(断开各子系统、电源中断、网络故障)、环境测试(按 IEC 60945 的温度、湿度、振动)和 EMC 测试(IEC 60945 和 IMO MSC 252(83))。
- 安装测试:在具体船舶安装上进行。验证安装的 IBS 与型式认可配置一致,所有与船舶系统的接口(GNSS 天线、雷达收发机、自动舵驱动单元、GMDSS)正确连接且功能正常,驾驶台人机工程学符合 IEC 61209 要求。
- 定期测试:IBS 每年至少进行一次报警功能、数据完整性检查、故障回退和航行数据记录完整性测试。
3.2 与未来技术的集成
IEC 61209(最新版本)日益关注与新兴海事技术的集成:
- 远程和自主导航:IBS 架构旨在适应远程控制和自主船舶操作(IMO MASS 规则实施)。IBS 必须提供远程监控接口并支持自主决策算法,同时保持值班驾驶员随时手动控制的能力。
- 增强态势感知:集成光学/红外摄像头、LIDAR 和增强现实显示器,将导航信息叠加到真实世界视图上。
- 网络安全:标准引用 IEC 63154 和 IMO FAL.5/Circ.14 的网络安全要求,要求 IBS 网络架构包括分段、入侵检测和远程访问的安全认证。
- 电子导航:支持 IMO 的 e-Navigation 战略,包括基于 S-100 框架的协调数据交换、与岸基海事服务(如 VTMIS、港口社区系统)的连接以及导航信息的标准化人机界面。
💡 工程设计指南
在设计 IBS 网络架构时,遵循 IEC 61209 附录 B 推荐的”双网络”原则:维护一个专用的导航传感器网络(NSN)用于安全关键数据(航向、位置、速度、深度),具有确定性延迟(< 100 ms);以及一个独立的信息网络用于非安全数据(天气、货物、行政)。NSN 应使用海事认可的网路协议(如 NMEA 2000、NMEA OneNet 或带时间敏感网络 TSN 的确定性以太网变体),并且必须与信息网络电气隔离。NSN 的电源应来自驾驶台专用 UPS,而非船舶的通用配电,确保在部分电源故障期间关键导航数据继续流通。信息网络可使用标准以太网,且可由船舶通用电源供电。
在设计 IBS 网络架构时,遵循 IEC 61209 附录 B 推荐的”双网络”原则:维护一个专用的导航传感器网络(NSN)用于安全关键数据(航向、位置、速度、深度),具有确定性延迟(< 100 ms);以及一个独立的信息网络用于非安全数据(天气、货物、行政)。NSN 应使用海事认可的网路协议(如 NMEA 2000、NMEA OneNet 或带时间敏感网络 TSN 的确定性以太网变体),并且必须与信息网络电气隔离。NSN 的电源应来自驾驶台专用 UPS,而非船舶的通用配电,确保在部分电源故障期间关键导航数据继续流通。信息网络可使用标准以太网,且可由船舶通用电源供电。
❓ 常见问题解答
问 1:IEC 61209 是否要求所有驾驶台设备来自同一制造商才能实现完全集成?
答: 不是。IEC 61209 是技术中立的,不强求单一供应商解决方案。该标准规定了实现多供应商集成的功能接口要求。关键接口包括:(1)用于导航传感器数据的 NMEA 2000 或 NMEA 0183;(2)用于数字接口的 IEC 61162 系列标准;(3)用于报警管理集成的 IEC 62923;(4)用于海图和水文数据的 IHO S-100 框架。然而,使用多家供应商设备实现级别 3 集成(面向任务的完全集成)通常需要额外的集成工程工作,包括公共网络骨干、统一的人机界面和定制中间件。一些船东选择单一供应商方案来实现级别 3 集成,以简化采购、安装和全周期支持,但这是商业决策,并非 IEC 61209 的要求。
问 2:在同时出现多个报警的复杂紧急情况下,IBS 报警应如何确定优先级?
答: IEC 61209 要求 IBS 实施报警管理系统,防止报警泛滥使值班驾驶员不堪重负。标准规定:(1)按严重性过滤报警:在导航关键阶段(受限水域、密集交通、能见度降低)仅显示紧急和警告报警。注意级报警被抑制直到关键阶段过去。(2)报警去重:如果单一基础条件触发来自不同子系统的多个报警,IBS 呈现一个有代表性的报警。(3)报警组分批抑制:如果触发火灾报警,所有与非关键系统相关的较低优先级报警(如 HVAC 故障、娱乐系统错误)被自动抑制。(4)根本原因指示:报警系统应指示主要原因,而不仅仅是症状。例如,与其分别显示”GNSS 位置丢失”、”雷达位置丢失”和”自动舵航迹丢失”,IBS 应显示”GNSS 信号丢失 — 检查 GNSS 天线和接收器”作为主要报警。
问 3:IBS 工作站的最低可接受显示尺寸和分辨率是多少?
答: IEC 61209 未指定确切的显示尺寸,但定义了基于性能的要求。关键的显示要求是:(1)主要导航显示(通常是雷达或 ECDIS 屏幕)的导航区域(”海图轮”或”雷达 PPI”区域)最小有效直径必须为 250 mm。(2)显示分辨率必须足以在最大量程下渲染最大比例尺海图或雷达图像的所有细节,且不丢失细节。(3)在 50,000 lux 环境照明(驾驶台明亮阳光)下,所有导航符号的对比度必须至少保持 3:1。(4)显示器必须从所有操作员位置(坐姿和站姿)可见,水平视角至少 ±45 度,垂直视角至少 ±30 度,且无明显对比度或色彩保真度损失。在实践中,大多数现代 IBS 安装使用 24 英寸(1920 × 1080)到 32 英寸(3840 × 2160)的显示器用于主要导航功能,更大的显示器用于操控和概览信息。
问 4:IEC 61209 如何特别针对综合桥接系统解决网络安全问题?
答: IEC 61209 引用了 IEC 63154(海上导航和无线电通信设备及系统 — 网络安全)和 IMO FAL.5/Circ.14(海上网络安全指南)。该标准为 IBS 确定了五项关键网络安全控制措施:(1)网络分段:导航传感器网络必须与船舶通用 IT 网络以及任何外部通信链路(卫星、岸端)物理或虚拟隔离。(2)安全认证:对 IBS 的所有远程访问(用于制造商远程诊断、软件更新或船队管理)必须使用多因素认证和单独用户凭证。(3)软件完整性:所有软件和固件更新必须在安装前经过数字签名和验证。未经授权的代码不得在 IBS 平台上执行。(4)入侵检测:IBS 必须监视异常网络流量模式和未授权连接尝试,记录所有安全事件。(5)回退能力:在发生危及 IBS 的网络安全事件时,值班驾驶员必须能在 5 秒内回退到单个导航设备的独立运行状态,无需依赖任何可能已被攻破的自动化系统。此回退能力是针对驾驶台勒索软件攻击的最后一道防线。
