PRZEPISY PUBLIKACJA NR 9/P WYMAGANIA DLA SYSTEMÓW KOMPUTEROWYCH

PRZEPISY PUBLIKACJA NR 9/P WYMAGANIA DLA SYSTEMÓW KOMPUTEROWYCH 2007 Publikacje P (Przepisowe) wydawane przez Polski Rejestr Statków są uzupełnieniem lub rozszerzeniem Przepisów i stanowią wymagania obowiązujące tam, gdzie mają zastosowanie. GDAŃSK

Publikacja Nr 9/P Wymagania dla systemów komputerowych 2007 została zatwierdzona przez Zarząd Polskiego Rejestru Statków S.A. w dniu 20 listopada 2007 r. i wchodzi w Ŝycie z dniem 20 grudnia 2007 r. Copyright by Polski Rejestr Statków S.A., 2007 PRS/HW, 11/2007 ISBN 978-83-60629-60-4

SPIS TREŚCI 1 Postanowienia ogólne... 5 1.1 Zakres zastosowania... 5 1.2 Zakres nadzoru... 5 1.3 Definicje... 5 1.4 Nadzór nad produkcją... 6 1.5 Dokumentacja techniczna... 6 1.6 Systemy komputerowe na mostku... 6 2 Wymagania ogólne... 7 2.1 Bezpieczeństwo obsługi... 7 2.2 Funkcje bezpieczeństwa... 7 2.3 Kategorie systemów... 8 3 Konfiguracja systemu... 9 3.1 Zabezpieczenie dostępu... 9 3.2 Modułowość... 9 4 Sprzęt komputerowy... 9 4.1 Wymagania ogólne... 9 4.2 Układy wejścia/wyjścia... 10 4.3 Urządzenia wejścia... 10 4.4 Urządzenia wyjścia... 11 4.5 Graficzne układy wejścia wyjścia... 11 4.6 Zasilanie... 12 4.7 Zdalne sterowanie... 12 5 Sieć informatyczna... 12 5.1 Wymagania ogólne... 12 5.2 Sieci redundantne... 13 5.3 WaŜne funkcje... 13 6 Oprogramowanie... 13 6.1 Wymagania ogólne... 13 6.2 Konfiguracja... 14 6.3 Odporność na awarie... 14 6.4 Komunikacja uŝytkownika z systemem komputerowym... 14 7 Systemy zintegrowane... 16 7.1 Efektywność obsługiwania... 16 7.2 Awaria systemów zintegrowanych... 16 7.3 Układy wielofunkcyjne... 16 8 Próby... 17 8.1 Wymagania ogólne... 17 8.2 Próby sprzętu komputerowego... 18 8.3 Próby oprogramowania systemowego... 18 8.4 Próby oprogramowania aplikacyjnego... 18 9 Wymagane świadectwa... 19 9.1 Systemy komputerowe... 19 9.2 Sterowniki programowalne... 19 9.3 Komputerowe kalkulatory załadunku... 19 str. 3

1 POSTANOWIENIA OGÓLNE 1.1 Zakres zastosowania 1.1.1 Wymagania niniejszej Publikacji mają zastosowanie do systemów komputerowych związanych z podlegającymi nadzorowi klasyfikacyjnemu PRS instalacjami, układami i urządzeniami. 1.1.2 Niniejsze wymagania mają zastosowanie równieŝ do systemów komputerowych wykorzystywanych przez załogę do oceny bezpieczeństwa eksploatacyjnego statku w zakresie objętym nadzorem konwencyjnym PRS. 1.2 Zakres nadzoru Nadzór PRS nad systemami komputerowymi obejmuje nadzór nad ich produkcją oraz nadzór nad ich instalacją na statku. 1.3 Definicje E l e k t r o n i c z n e u r ządzenie p r o g r a m o w a l n e (skrót P E D od ang. p r o g r a m m a b l e e l e c t r o n i c d e v i c e ) urządzenie o budowie opartej na technologii komputerowej, które moŝe składać się z części sprzętowej (w tym jednostek wieloprocesorowych), oprogramowania oraz układów wejścia i/lub wyjścia, np. sterownik PLC. E l e k t r o n i c z n y s y s t e m p r o g r a m o w a l n y (skrót P E S, od ang. p r o - g r a m m a b l e e l e c t r o n i c s y s t e m ) system zbudowany z co najmniej jednego elektronicznego urządzenia programowalnego, połączonego z urządzeniami wejściowymi (np. czujnikami) i/lub urządzeniami/układami wyjściowymi (np. zadajnikami), równieŝ wchodzącymi w skład systemu, przeznaczony do sterowania, ochrony i/lub monitoringu. F u n k c j e w aŝne funkcje pełnione przez wyposaŝenie, którego ciągła praca jest niezbędna dla napędu, sterowania i bezpieczeństwa statku oraz bezpieczeństwa ludzi na statku. I n t e r f e j s punkt przekazywania informacji o systemie, np.: interfejsy wejścia/wyjścia, interfejsy kontaktu człowiek maszyna, interfejsy komunikacyjne. K o m p u t e r elektroniczne urządzenie programowalne do przechowywania i przetwarzania danych, wykonywania obliczeń lub sterowania. Komputer moŝe być wykonany jako pojedyncza jednostka centralna lub jako kilka połączonych ze sobą jednostek centralnych. Określenie komputer obejmuje kaŝdy dowolny elektroniczny system programowalny, taki jak: komputer obliczeniowy duŝej mocy typu main-frame, minikomputer lub mikrokomputer. O p r o g r a m o w a n i e programy, dane i dokumentacja związana z pracą komputera/ów wchodzących w skład systemu komputerowego. R e d u n d a n c j a zdolność urządzenia lub systemu do utrzymania lub przywrócenia jego funkcji w przypadku wystąpienia pojedynczej awarii. 5

S y s t e m k o m p u t e r o w y system składający się z jednego lub kilku komputerów, związanego z nimi oprogramowania oraz urządzeń peryferyjnych i interfejsów. S y s t e m z i n t e g r o w a n y system składający się z kilku systemów komputerowych połączonych w celu stworzenia centralnego systemu zapewniającego dostęp do danych z czujników i/lub moŝliwości sterowania. U k ł a d y w e jścia/wyjścia np. czujniki, przetworniki, zadajniki itp. U r ządzenia p e r y f e r y j n e urządzenia wykonujące czynności pomocnicze w systemie komputerowym, np.: drukarki, urządzenia magazynujące dane. U r ządzenia w e jścia np. klawiatury, myszki, manipulatory kulowe, przyciski, dźwignie itp. U r ządzenia w y jścia np. monitory ekranowe, wyświetlacze ciekłokrystaliczne (LCD), lampki alarmowe/sygnalizacyjne, brzęczki, wskaźniki itp. Węz e ł punkt dostępu do sieci informatycznej. 1.4 Nadzór nad produkcją Produkcja systemów komputerowych podlega nadzorowi bezpośredniemu lub pośredniemu PRS i powinna być potwierdzona odpowiednim certyfikatem. 1.5 Dokumentacja techniczna Zakres dokumentacji systemów kategorii II i III podlegającej zatwierdzeniu przez PRS obejmuje:.1 schematy blokowe;.2 układy wejścia/wyjścia i dane dotyczące zasilania;.3 opis funkcji, działania, niezawodności i samokontroli układu, przekazywania sterowania, zabezpieczenia danych i zabezpieczenia przed dostępem osób nieupowaŝnionych;.4 procedury załączania, obsługi, odbudowy danych, sposobów testowania i napraw;.5 procedury uaktualniania oprogramowania i konfiguracji systemu;.6 program prób funkcjonalnych i środowiskowych. 1.6 Systemy komputerowe na mostku Systemy komputerowe na mostku nawigacyjnym powinny być instalowane zgodnie z wymaganiami mających zastosowanie Przepisów PRS oraz norm międzynarodowych. Systemy komputerowe instalowane na mostku nawigacyjnym powinny być poddane próbom kompatybilności elektromagnetycznej w zakresie dotyczącym wyposaŝenia elektrycznego i elektronicznego, zgodnie z wymaganiami Publikacji IEC 60945. 6

2 WYMAGANIA OGÓLNE 2.1 Bezpieczeństwo obsługi 2.1.1 Systemy komputerowe powinny realizować określone funkcje lub zadania w sposób automatyczny w przypadku, gdy charakterystyka procesu lub czas reakcji operatora wyklucza odpowiednią reakcję na zdarzenie lub awarię systemu. 2.1.2 Systemy komputerowe powinny umoŝliwiać bezpieczną pracę sterowanych i nadzorowanych instalacji, układów i urządzeń, biorąc pod uwagę: bezpieczeństwo obsługi, wpływ środowiska, awaryjność urządzeń, uŝytkowość, moŝliwość obsługi nieskomputeryzowanych urządzeń i systemów. 2.1.3 KaŜdy panel sterowania, wskaźnik, dźwignia sterująca, przycisk, urządzenie alarmowe, lampka sygnalizacyjna, urządzenie do nagrywania, przetwornik, czujnik itp. powinien zostać wyraźnie i trwale oznaczony za pomocą etykiet, jednoznacznie objaśniających funkcję urządzenia. 2.2 Funkcje bezpieczeństwa 2.2.1 Systemy komputerowe powinny w sposób automatyczny interweniować w przypadku, gdy charakterystyka procesu lub czas reakcji operatora wyklucza odpowiednią reakcję na zdarzenie lub awarię systemu. 2.2.2 System komputerowy powinien umoŝliwiać: wykonywanie zadanych czynności, akceptowanie poleceń uŝytkownika, przekazywanie informacji uŝytkownikowi w normalnych i awaryjnych warunkach pracy. 2.2.3 Czas reakcji systemu powinien być odpowiedni dla wszystkich wykonywanych funkcji, biorąc pod uwagę maksymalne obciąŝenie i maksymalną liczbę zadań oraz powinien uwzględniać prędkość komunikacji w normalnych i awaryjnych warunkach pracy. 2.2.4 Funkcje bezpieczeństwa systemu komputerowego powinny być niezaleŝne od funkcji sterujących i monitorujących (alarmowych) systemu. Na ile jest to moŝliwe, funkcje sterujące powinny być niezaleŝne od funkcji monitorujących (alarmowych). 2.2.5 Systemy rezerwowe oraz inne urządzenia zredundowane powinny być funkcjonalnie niezaleŝne, np. sygnały sterujące i monitorujące pomp zasilających i rezerwowych/wspomagających oleju smarowego powinny zostać rozdzielone pomiędzy dwie oddzielne podstacje systemu sterowania pracą siłowni. 7

2.3 Kategorie systemów 2.3.1 Elektroniczne systemy programowalne dzielą się na trzy kategorie, jak pokazano w tabeli 2.3.1, w zaleŝności od rozległości uszkodzenia spowodowanego pojedynczą awarią. Przy czym naleŝy jedynie rozwaŝać obszar uszkodzeń spowodowanych daną konkretną awarią, nie zaś dowolne powaŝne uszkodzenie. Redundancja nie jest brana pod uwagę podczas kategoryzacji systemu. Tabela 2.3.1 Kategoria Opis Zakres funkcji I II III Systemy, których awaria nie prowadzi do sytuacji niebezpiecznych dla ludzi, statku i/lub środowiska Systemy, których awaria moŝe ostatecznie prowadzić do sytuacji niebezpiecznych dla ludzi, statku i/lub środowiska Systemy, których awaria moŝe natychmiastowo prowadzić do sytuacji niebezpiecznych dla ludzi, statku i/lub środowiska funkcje monitorujące w celach informacyjnych i/lub administracyjnych funkcje alarmowe i monitorujące funkcje sterujące, które są konieczne w celu utrzymania statku w jego normalnej kondycji pod względem warunków pracy oraz socjalno-bytowych funkcje kontrolne w celu utrzymania napędu oraz manewrowości jednostki funkcje bezpieczeństwa 2.3.2 Przypisanie elektronicznego systemu programowalnego do konkretnej kategorii wykonuje się w oparciu o najbardziej prawdopodobny obszar bezpośrednich uszkodzeń. JeŜeli przewidziano skuteczny system rezerwowy lub inne środki zmniejszające prawdopodobieństwo wystąpienia niebezpieczeństwa, wówczas kategoria systemu III moŝe zostać zmniejszona do II. Przykłady kategorii systemów pokazano w tabeli 2.3.2. Tabela 2.3.2 Kategoria I II III Przykład zastosowania Systemy wspomagające utrzymanie i konserwację jednostki Systemy diagnostyczne i informacyjne WyposaŜenie alarmowe i monitorujące WyposaŜenie pomiarowe pojemności zbiorników Systemy kontrolne urządzeń pomocniczych siłowni Systemy zdalnego sterowania napędem głównym Systemy wykrywania poŝaru Systemy gaszenia poŝaru Systemy zęzowe Regulatory obrotów Systemy/wyposaŜenie bezpieczeństwa urządzeń napędowych Systemy sterowania palników Elektroniczne systemy wtrysku paliwa silników Diesla Systemy kontrolne napędu i urządzenia sterowego Urządzenia synchronizujące instalowane w rozdzielnicach 8

2.3.3 Wymagania niniejszej Publikacji dotyczą systemów komputerowych kategorii II i III, chyba Ŝe wskazano inaczej. Systemy komputerowe kategorii I podlegają kaŝdorazowo odrębnemu rozpatrzeniu przez PRS. 3 KONFIGURACJA SYSTEMU 3.1 Zabezpieczenie dostępu 3.1.1 Elektroniczne systemy programowalne kategorii II i III powinny być zabezpieczone przed moŝliwością zmiany konfiguracji systemu, programu lub danych przez osoby nieupowaŝnione. 3.1.2 Zmiany w systemach kategorii III, dokonane przez producenta po odbiorze ich przez inspektora PRS, podlegają kaŝdorazowo zatwierdzeniu przez PRS. 3.1.3 Wszelkie zmiany wprowadzone po poświadczonych przez PRS próbach typu/wyrobu, podanych w tabeli 8.1, p. 6 powinny zostać udokumentowane. 3.2 Modułowość Sprzęt komputerowy i oprogramowanie powinny być typu modułowego o budowie hierarchicznej, aby zminimalizować konsekwencje jakichkolwiek awarii oraz zapewnić łatwość testowania i obsługi. 4 SPRZĘT KOMPUTEROWY 4.1 Wymagania ogólne 4.1.1 Sprzęt komputerowy powinien być tak zaprojektowany, aby z wynikiem pozytywnym mógł być poddany próbom środowiskowym, wyszczególnionym w Publikacji Nr 11/P Próby środowiskowe wyposaŝenia statków oraz w Publikacji IEC 60092-504. 4.1.2 Konstrukcja sprzętu powinna zapewniać łatwość wymiany elementów podczas napraw i obsługi. 4.1.3 Wymiana kaŝdego elementu powinna być łatwa, a jego konstrukcja powinna umoŝliwiać jego łatwe i bezpieczne przechowywanie. Części zamienne powinny być tak wykonane, aby uniemoŝliwić pomyłkę przy ich montaŝu. Tam, gdzie nie moŝe to być spełnione, powinny one mieć trwale i jednoznacznie oznaczoną pozycję poprawnego zamontowania. 4.1.4 Awaria komputerowego modułu sterowania waŝnych funkcji statku, wspomagania decyzji lub symulacji nie powinna doprowadzić do utraty podstawowych funkcji sterowanego systemu. 9

4.1.5 Prawidłowość pracy systemów komputerowych powinna być monitorowana, a w przypadku wykrycia stanów nienormalnych powinien zostać zainicjowany alarm. 4.1.6 WyposaŜenie wraz z okablowaniem powinno być instalowane zgodnie z wymaganiami odpowiednich Przepisów PRS, w celu zminimalizowania wpływu pola elektromagnetycznego pomiędzy nim a innym wyposaŝeniem zainstalowanym na pokładzie (np. kompasem magnetycznym na mostku). 4.1.7 Okablowanie stosowane przy budowie sieci informatycznej powinno posiadać odpowiednią wytrzymałość mechaniczną, odpowiednie zamocowanie oraz osłony przed uszkodzeniami mechanicznymi, zgodnie z wymaganiami opisanymi w rozdziale 16 z Części VIII Instalacje elektryczne i systemy sterowania, Przepisów klasyfikacji i budowy statków morskich. 4.1.8 Systemy komputerowe powinny być zaprojektowane w sposób zapewniający swobodę i łatwość obsługi oraz powinny spełniać zasady ergonomii. 4.2 Układy wejścia/wyjścia 4.2.1 Układy wejścia/wyjścia powinny zapewnić efektywność pracy systemu przez: dostarczenie niezbędnych informacji, umoŝliwienie reakcji obsługi, uwzględnienie moŝliwości percepcji uŝytkownika, a tym samym uwzględnienie liczby zadań bądź działań moŝliwych do wykonania w trakcie obsługi przez uŝytkownika. 4.2.2 Na odpowiednich stanowiskach sterowania powinny być widoczne sygnały alarmowe, informujące o awarii lub wyłączeniu części systemu. 4.2.3 Stan/tryb pracy systemu komputerowego powinien być łatwo rozpoznawalny. 4.3 Urządzenia wejścia 4.3.1 Urządzenia wejścia powinny mieć jasno zdefiniowane funkcje i być bezpieczne w uŝyciu w kaŝdych warunkach. 4.3.2 NaleŜy przewidzieć klawisze funkcyjne dla często wydawanych poleceń oraz dla poleceń wymagających szybkiej reakcji. W przypadku klawiszy wielofunkcyjnych, aktywna funkcja powinna być łatwo rozpoznawalna. 4.3.3 Urządzenia wejścia powinny być tak usytuowane, aby operator miał dobrą widoczność odpowiadających im ekranów. 4.3.4 Operator powinien otrzymać potwierdzenie wydanej instrukcji. 10

4.3.5 Panele sterownicze w sterówce powinny być wyposaŝone w oddzielne oświetlenie. Powinna być zapewniona moŝliwość regulacji jasności tego oświetlenia oraz jasności monitorów ekranowych, bez moŝliwości ich całkowitego ściemnienia, np. paneli dotykowych. 4.3.6 JeŜeli funkcje lub operacje mogą być zmieniane przy uŝyciu klawiatury, to czynność ta powinna być moŝliwa do wykonania tylko przez upowaŝniony personel. 4.3.7 JeŜeli uŝycie danego klawisza mogłoby doprowadzić do sytuacji niebezpiecznych, to naleŝy stosować następujące środki zapobiegawcze:.1 blokowanie działania takiego klawisza, lub.2 konieczność uŝycia kombinacji dwóch lub więcej klawiszy. 4.3.8 NaleŜy zapobiegać moŝliwości wprowadzania poleceń będących w sprzeczności z uprzednio wydaną instrukcją, stosując odpowiednie blokady lub ostrzeŝenia. Aktywne polecenie sterowania powinno być rozróŝnialne. 4.3.9 Działanie urządzeń wejściowych powinno być logiczne i zgodne z kierunkiem działania sterowanego nimi wyposaŝenia. 4.4 Urządzenia wyjścia 4.4.1 Rozmiar, kolor oraz intensywność tekstu i informacji graficznych wyświetlanych na ekranach monitorów powinny być tak dobrane, aby były czytelne z normalnego miejsca pracy operatora, w kaŝdych warunkach oświetlenia. 4.4.2 NaleŜy przewidzieć moŝliwość regulacji jasności oraz kontrastu w celu dostosowania ich do warunków otoczenia, bez moŝliwości całkowitego ściemnienia. 4.5 Graficzne układy wejścia wyjścia 4.5.1 Informacje powinny być przedstawione w sposób jasny i zrozumiały, przy uwzględnieniu waŝności funkcji i skojarzeń. Struktura zawartości obrazu na ekranie powinna być logiczna i powinna zawierać tylko dane niezbędne dla uŝytkownika. 4.5.2 Alarmy powinny być przedstawiane graficznie oraz akustycznie i mieć pierwszeństwo w stosunku do innych informacji, niezaleŝnie od aktualnej funkcji systemu. Powinny one być łatwo odróŝniane od innych prezentowanych informacji. 4.5.3 JeŜeli alarmy są wyświetlane na kolorowych monitorach ekranowych, to statusy alarmów powinny być rozróŝnialne nawet w przypadku awarii podstawowego koloru monitora. 4.5.4 W przypadku uŝywania przez operatora interfejsów graficznych ogólnego przeznaczenia, na ekranie powinny być prezentowane jedynie funkcje niezbędne do nadzorowania danego procesu. 11

4.5.5 Alarmy powinny być wyświetlane na monitorach w takiej samej kolejności, w jakiej się pojawiły. Zawsze widoczny powinien być, co najmniej, ostatnio zaistniały alarm. 4.5.6 W układach alarmowych naleŝy przewidzieć środki do podglądu wszystkich niezaakceptowanych alarmów. 4.5.7 W przypadku jednoczesnego wyświetlania wielu alarmów na monitorze, nie powinno być moŝliwe ich (lub pewnej ich grupy) jednoczesne zaznaczenie i akceptowanie. Dopuszczalne jest, tylko i wyłącznie, pojedyncze akceptowanie poszczególnych alarmów. 4.6 Zasilanie 4.6.1 Program i dane systemów kategorii II i III powinny być zabezpieczone przed skutkami zaniku zasilania. 4.6.2 NaleŜy przewidzieć sygnalizację zasilania. W przypadku braku zasilania lub nieodpowiednich jego parametrów, powinien być inicjowany alarm. 4.6.3 Zanik zasilania nie powinien prowadzić do stanów niebezpiecznych dla urządzeń i statku. 4.6.4 Systemy komputerowe powinny być zasilane z dwóch niezaleŝnych źródeł energii elektrycznej oraz być zabezpieczone przed skutkami zwarć i przeciąŝeń. Przełączanie zasilania powinno być automatyczne i bezprzerwowe. 4.7 Zdalne sterowanie 4.7.1 Zdalne sterowanie systemami okrętowymi poprzez system komputerowy powinno być rozwiązane w sposób zapewniający spełnienie wymagań odpowiednich Przepisów PRS oraz norm międzynarodowych. 4.7.2 MoŜliwość bezprzewodowego zdalnego sterowania wyposaŝeniem statkowym podlega w kaŝdym przypadku odrębnemu rozpatrzeniu przez PRS. 5 SIEĆ INFORMATYCZNA 5.1 Wymagania ogólne 5.1.1 Sieć informatyczna powinna uruchamiać się po załączeniu napięcia. 5.1.2 Przepustowość sieci powinna być wystarczająca do pracy w czasie rzeczywistym. 5.1.3 Do zapewnienia wymiany danych naleŝy uŝywać standardowych urządzeń sprzęgających. 12

5.1.4 Sieć powinna posiadać mechanizmy diagnostyczne, wskazujące awarie podłączeń do sieci lub awarie węzłów w sieci. Awarie te powinny inicjować alarm. 5.1.5 Awaria w węźle informatycznym nie powinna wpływać na pozostałą część sieci informatycznej. 5.1.6 Awaria jakiegokolwiek wspólnego elementu sieci nie powinna mieć wpływu na działanie systemu. 5.1.7 Sieć informatyczna powinna zapewniać kontrolę ciągłości przesyłanych danych oraz moŝliwość przywrócenia uszkodzonego lub utraconego pakietu danych. 5.2 Sieci redundantne 5.2.1 JeŜeli są wymagane sieci zdwojone, to powinny one być tak separowane, aby awaria w jednej z nich nie miała wpływu na działanie drugiej. 5.2.2 Przełączanie przepływu informacji między sieciami redundantnymi powinno następować samoczynnie oraz nie powinno zakłócać sygnałów źródłowych i ciągłości obsługi. 5.3 WaŜne funkcje 5.3.1 Systemy komputerowe obsługujące waŝne funkcje, czyli systemy kategorii II i III, powinny być podłączone poprzez sieci redundantne, ktorych status powinien być monitorowany. 5.3.2 Awaria sieci informatycznej nie powinna uniemoŝliwiać obsługi waŝnych urządzeń poprzez alternatywne środki, np. za pomocą lokalnych stanowisk sterowania. 5.3.3 Dla waŝnych funkcji w informatycznym węźle odbiorczym naleŝy sprawdzać dopuszczalne parametry sieci. 6 OPROGRAMOWANIE 6.1 Wymagania ogólne 6.1.1 Oprogramowanie i wprowadzone do niego zmiany powinny być wykonywane w oparciu o procedury. Procedury te powinny zawierać: opis programu, plany jakości, sprawdzenie, wdroŝenie, realizację, instalację i modyfikację. Modyfikacje programu i danych oraz wersji oprogramowania powinny być udokumentowane. 6.1.2 Zmiany oprogramowania, mające wpływ na funkcjonowanie systemu, podlegają zatwierdzeniu przez PRS. 13

6.2 Konfiguracja 6.2.1 System operacyjny oraz jego konfiguracja powinny zapewniać prawidłowe funkcjonowanie oprogramowania aplikacyjnego. 6.2.2 Oprogramowanie aplikacyjne systemów komputerowych, realizujące róŝne funkcje, powinno zapewniać: pracę kilku modułów z zachowaniem określonych priorytetów, wskazywanie awarii poszczególnych modułów, eliminowanie modułów uszkodzonych w celu umoŝliwienia pracy innych modułów, mających ten sam lub wyŝszy priorytet. 6.2.3 Moduły oprogramowania nie powinny obejmować działań dla więcej niŝ jednej funkcji sterowania. Dla kaŝdego zadania powinien być określony priorytet w zaleŝności od funkcji realizowanej przez oprogramowanie. 6.2.4 W przypadku, kiedy skonfigurowano sprzęt komputerowy w sposób minimalizujący konsekwencje jego awarii, to zastosowane oprogramowanie powinno zapewniać taki sam stopień bezpieczeństwa. 6.3 Odporność na awarie 6.3.1 W przypadku awarii systemu komputerowego, system taki powinien automatycznie powrócić do warunków początkowych zapewniających odpowiedni poziom bezpieczeństwa. 6.3.2 Awaria i ponowny rozruch systemu komputerowego nie powinny powodować przejścia procesu do stanu krytycznego, czy teŝ niezdefiniowanego. 6.3.3 Funkcje bezpieczeństwa, sterowania i alarmowania systemu komputerowego powinny być tak rozwiązane, aby pojedyncza awaria w systemie nie objęła więcej niŝ jednej z tych funkcji. 6.4 Komunikacja uŝytkownika z systemem komputerowym 6.4.1 Komunikacja uŝytkownika z systemem komputerowym powinna być realizowana na zasadzie dialogu, tj. prowadzić uŝytkownika do realizacji zadania krok po kroku w formie podpowiedzi lub podania alternatywnych działań. 6.4.2 UŜytkownik powinien być ostrzeŝony w przypadku próby wprowadzenia niedozwolonych zmian warunków sterowania oraz zmian programu lub danych. 6.4.3 Wszystkie obrazy na monitorze, potocznie zwane mimikami (od ang. mimics), powinny być przedstawione w sposób nie wymagający dodatkowych wyjaśnień. 6.4.4 Mimiki powinny być funkcjonalnym lub lokalizacyjnym odzwierciedleniem co najmniej jednej z prezentowanych instalacji/systemów. Mimiki funkcjonalne powinny w pierwszej kolejności zapewniać funkcjonalność, zaś w drugiej przedstawiać 14

rozmieszczenie urządzeń na jednostce. Mimiki lokalizacyjne powinny być tak wykonane, aby dziób statku był skierowany w prawą stronę lub w górę ekranu. 6.4.5 Mimiki lokalizacyjne powinny zawierać plany pokładów jednostki jako tło w celu wskazania operatorowi lokalizacji obsługiwanego urządzenia. Ponadto kod lokalizacyjny, np. burta i wręg, powinien zostać pokazany przez okienko informacyjne obsługiwanego urządzenia, po wskazaniu tego urządzenia przez operatora. 6.4.6 Mimiki powinny być pokazywane w orientacji poziomej, tj. według ich szerokości, chyba Ŝe pionowa orientacja będzie bardziej wskazana. 6.4.7 NaleŜy wystrzegać się krzyŝowania się linii na ekranie. W przypadku braku moŝliwości uniknięcia skrzyŝowań, naleŝy je jasno wskazać poprzez przerwanie linii poziomych lub wykonanie łuków na liniach poziomych. 6.4.8 WyposaŜenie sygnalizacyjne i kontrolne powinno być prezentowane w oparciu o częściowe obrazy systemów, których dotyczą, chyba Ŝe uzna się za stosowne zaprezentowanie tego wyposaŝenia w oddzielnym oknie. 6.4.9 Symbole reprezentujące to samo urządzenie, ale pokazane na kilku ekranach, powinny być prezentowane w taki sam sposób. 6.4.10 Zastosowana czcionka powinna być jednoznacznie rozróŝnialna, np. typu ARIAL. Wielkość liter powinna być dobrana do wielkości ekranu zapewniając łatwą czytelność prezentowanego tekstu. 6.4.11 NaleŜy stosować zasadę ciemnego tła, na ile tylko jest to moŝliwe. Kolorowe animacje, ze zmianą odcienia, mogą być stosowane do wskazania zmiany stanu urządzenia. 6.4.12 Prezentacja stanu urządzenia powinna być osiągana przy uŝyciu symboli graficznych, a nie tekstu na ile tylko jest to moŝliwe. 6.4.13 Aktualne wartości oraz wskaźniki trybu sterowania pracą urządzenia powinny być wyświetlane najbliŝej, jak to jest tylko moŝliwe, symbolu, którego dotyczą, w taki sposób, aby relacje między nimi były jednoznaczne. 6.4.14 Wszystkie informacje istotne dla zdalnego sterowania i monitoringu systemów okrętowych powinny być dostępne na co najmniej jednym ekranie/mimiku. JeŜeli uzna się za stosowne, wówczas moŝna wykonać dodatkowy mimik ze skrótem najwaŝniejszych informacji. 6.4.15 Prezentowany na ekranie system moŝe zawierać ikony aktywnych hiperłączy do związanych z nim podsystemów. Osiągnięcie nowego ekranu powinno być moŝliwe poprzez kliknięcie na hiperłącze. Przechodzenie za pomocą hiperłączy do innych ekranów powinno być dwukierunkowe, czyli z zapewnieniem moŝliwości bezpośredniego powrotu do ekranu wyjściowego. 15

6.4.16 Stosowanie skrótów pomiędzy ekranami tego samego systemu jest dopuszczalne, jeŝeli spełnione zostaną wymagania punktu 6.4.15. 6.4.17 Nawigacja pomiędzy ekranami powinna być moŝliwa na kilka sposobów:.1 poprzez uŝycie ekranu z listą ekranów prezentowanych w systemie,.2 poprzez kliknięcie na ikonę hiperłącza, jeŝeli ekrany je zawierają, oraz.3 poprzez wprowadzenie numeru Ŝądanego ekranu za pomocą klawiatury. W przypadku uŝycia ekranów dotykowych (systemy bez klawiatur) moŝliwe jest stosowanie jedynie dwóch pierwszych metod. 6.4.18 KaŜdy mimik powinien składać się z następujących podstawowych sekcji:.1 paska alarmów lub grup alarmowych,.2 okna aplikacji, gdzie zaprezentowany jest ekran, np. określonego systemu,.3 paska informacyjnego wskazanego komponentu,.4 dodatkowo mimik moŝe zostać wyposaŝony w pasek przycisków funkcyjnych. Na kaŝdym mimiku powinien być zaprezentowany zegar czasu rzeczywistego. 6.4.19 Stosowane na mimikach jednostki miar powinny opierać się o układ SI oraz standardowe przedrostki multiplikacyjne. Zastosowanie innych miar naleŝy kaŝdorazowo indywidualnie uzgodnić z PRS. 6.4.20 W przypadku stosowania ekranów dotykowych, naleŝy zapewnić moŝliwość ich obsługi poprzez odpowiedni dobór wielkości przycisków reprezentowanych na ekranie. 6.4.21 W celu ułatwienia obsługi programu, powinna być udostępniona uŝytkownikowi instrukcja obsługi tego programu. 7 SYSTEMY ZINTEGROWANE 7.1 Efektywność obsługiwania Obsługiwanie zintegrowanych systemów powinno być co najmniej tak efektywne, jak indywidualnych urządzeń lub układów. 7.2 Awaria systemów zintegrowanych Awaria części zintegrowanego systemu nie powinna wpływać na funkcjonalność innych układów niŝ te, które bezpośrednio zaleŝą od układu, który uległ awarii. 7.3 Układy wielofunkcyjne 7.3.1 Układy wielofunkcyjne (układy sterowania, monitory) powinny być zdwojone z moŝliwością ich wzajemnej zamiany. Ilość stacji sterowania powinna być wystarczająca, aby zapewnić spełnienie przez kaŝdą z nich funkcji, w których jest wymagana ciągła dostępność. 16

7.3.2 Awaria połączeń między układami nie powinna mieć wpływu na ich niezaleŝną pracę. 7.3.3 Dla waŝnych funkcji naleŝy przewidzieć moŝliwość sterowania niezaleŝną od systemu zintegrowanego. 7.3.4 JeŜeli jest wymagane, aby układy sterowania były redundantne i instalowane w róŝnych pomieszczeniach, to takie wymaganie dotyczy równieŝ układów komputerowych. 8 PRÓBY 8.1 Wymagania ogólne Wyniki prób powinny być udokumentowane. Dokumentacja z prób powinna obejmować zakres podany w tabeli 8.1. Tabela 8.1 Wymagane próby i dokumentacja z prób systemów komputerowych Kategoria systemu Nr Dokumentacja z prób I II III 1 2 3 4 5 1. Sprawdzenie systemu jakości Sprawdzenie planu jakości dla oprogramowania M M Inspekcja komponentów od podwykonawców (tylko sprzęt) M M Sprawdzenie systemu jakości produkcji M M Raporty z prób końcowych M M S Udokumentowanie tworzenia oprogramowania M M S 2. Opis sprzętu i oprogramowania komputerowego Opis oprogramowania M S Opis sprzętu M S Analizy awaryjności tylko dla funkcji mających wpływ na bezpieczeństwo 3. Sprawozdanie z prób oprogramowania Sprawozdanie zgodności prób oprogramowania z planem jakości M S Analiza istnienia i spełnienia procedur programowych dla funkcji mających wpływ na bezpieczeństwo 4. Próby sprzętu komputerowego Próby wykonać zgodnie z wymaganiem podrozdziału 8.2 W W 5. Próby oprogramowania Próby modułowe M S Próby podsystemów M S Próby systemu M S S S 17

1 2 3 4 5 6. Próby funkcjonalne Próby integracji systemu M W Próby symulacji awarii W W Ostateczne próby fabryczne (FAT) M W W 7. Próby na jednostce Próby całego systemu M W W Próby integracji systemu W W 8. Modyfikacje Próby po wprowadzeniu modyfikacji M S/W S/W UŜyte w tabeli 8.1 skróty oznaczają: M dokumentacja archiwizowana przez producenta systemu i udostępniana na Ŝyczenie, S dokumentacja podlegająca weryfikacji przez PRS, W próba powinna być przeprowadzona w obecności przedstawiciela PRS. 8.2 Próby sprzętu komputerowego Sprzęt komputerowy naleŝy poddać próbom środowiskowym według Publikacji Nr 11/P Próby środowiskowe wyposaŝenia statków lub Publikacji IEC 60092-504. 8.3 Próby oprogramowania systemowego 8.3.1 Próby oprogramowania systemowego powinny zweryfikować jego zgodność ze specyfikacją techniczną, zawierającą opis spełnianych przez niego funkcji. 8.3.2 Podczas prób naleŝy zasymulować moŝliwe, realne awarie urządzeń i systemu. 8.3.3 Funkcje alarmowe i bezpieczeństwa powinny być sprawdzone przez symulację przekroczenia parametrów pracy. 8.4 Próby oprogramowania aplikacyjnego 8.4.1 Oprogramowanie aplikacyjne powinno być poddane próbom przed jego instalacją na sprzęcie, który będzie instalowany na statku. 8.4.2 Próby naleŝy przeprowadzić dla kompletnego systemu według zatwierdzonego programu prób. 8.4.3 Wszystkie funkcje oprogramowania powinny być sprawdzone w warunkach pracy normalnej i awaryjnej. 8.4.4 NaleŜy sprawdzić, czy wszystkie funkcje zintegrowanych systemów zostały osiągnięte. 18

9 WYMAGANE ŚWIADECTWA 9.1 Systemy komputerowe Przed zainstalowaniem na statku, systemy komputerowe powinny posiadać następujące dokumenty wydane przez PRS: Świadectwo uznania typu wyrobu poświadczające przeprowadzenie z wynikiem pozytywnym prób środowiskowych opisanych w podrozdziale 8.2 i prób oprogramowania systemowego opisanych w podrozdziale 8.3 (z podaniem wersji oprogramowania systemowego), Metrykę poświadczającą przeprowadzenie prób oprogramowania aplikacyjnego opisanych w podrozdziale 8.4 (z podaniem wersji oprogramowania aplikacyjnego). 9.2 Sterowniki programowalne Przed zainstalowaniem na statku, sterowniki programowalne powinny posiadać Świadectwo uznania typu wyrobu, poświadczające przeprowadzenie z wynikiem pozytywnym prób środowiskowych opisanych w podrozdziale 8.2 i prób oprogramowania aplikacyjnego układu opisanych w podrozdziale 8.4 (z podaniem wersji oprogramowania aplikacyjnego). 9.3 Komputerowe kalkulatory załadunku Komputerowe kalkulatory załadunku powinny posiadać Świadectwo uznania typu wyrobu, poświadczające przeprowadzenie z wynikiem pozytywnym prób środowiskowych opisanych w podrozdziale 8.2. Oprogramowanie kalkulacyjne podlega zatwierdzeniu przez Inspektorat Kadłubowy PRS. 19