本文通過使用STPA確定了可能存在的駕駛員-車輛交互不充分后，提出了相應(yīng)的要求，以避免不安全行為，從而預(yù)防危險。對于復(fù)雜系統(tǒng)，安全評估已經(jīng)從理解“系統(tǒng)如何工作”轉(zhuǎn)變?yōu)椤跋到y(tǒng)如何產(chǎn)生故障”。重點(diǎn)介紹在“創(chuàng)建系統(tǒng)控制結(jié)構(gòu)（對控制過程建模）”中設(shè)計的通用控制回路模型。

• 為什么駕駛員要選擇當(dāng)前的控制動作（原因）
• 駕駛員對當(dāng)前系統(tǒng)/環(huán)境的認(rèn)知是什么
• 駕駛員是如何得到當(dāng)前的認(rèn)知的

• C-1：安全駕駛員因其駕駛技能而不踩下制動踏板。
• C-2：安全駕駛員決定不踩下制動踏板，因為他必須遵守規(guī)則。
• C-3：安全駕駛員決定不踩下制動踏板，因為他了解車輛系統(tǒng)。

• B-3.1：安全駕駛員認(rèn)為車輛速度仍然低于標(biāo)稱速度。
• B-3.2：安全駕駛員認(rèn)為標(biāo)稱速度沒有變化。
• B-3.3：安全駕駛員認(rèn)為ADS正在運(yùn)行，并會自動減速。

• CF-3.3.1:HMI上的ADS狀態(tài)顯示不正確。
• CF-3.3.2:HMI上的ADS狀態(tài)未正確更新。
• CF-3.3.3:ADS開關(guān)按鈕執(zhí)行多種功能，使駕駛員感到困惑。

• ADS被禁用時立即通知駕駛員（預(yù)防）
• ADS使用狀態(tài)未正確顯示在HMI上時，馬上顯示警告信息通知駕駛員（檢測）

• C-1：由于駕駛技術(shù)原因，安全駕駛員未充分踩下制動踏板。
• C-2：安全駕駛員沒有踩下足夠的制動踏板，因為他必須遵守規(guī)則。
• C-3：由于安全駕駛員對車輛系統(tǒng)的了解，他沒有充分踩下制動踏板。

• B-3.1：安全駕駛員認(rèn)為車輛已經(jīng)達(dá)到急轉(zhuǎn)彎的安全速度。
• B-3.2：安全駕駛員認(rèn)為轉(zhuǎn)彎沒有那么急。
• B-3.3：安全駕駛員認(rèn)為ADS正在運(yùn)行，這有助于減速。

• CF-3.2.1：車內(nèi)導(dǎo)航地圖顯示的道路結(jié)構(gòu)不正確。
• CF-3.2.2：車內(nèi)導(dǎo)航地圖未正確更新。
• CF-3.2.3：車身設(shè)計增加了駕駛員對周圍環(huán)境的安全盲點(diǎn)。

• 車內(nèi)導(dǎo)航地圖應(yīng)始終與現(xiàn)實道路同步。（R-1）（預(yù)防）
• 當(dāng)實際道路和地圖不匹配時，HMI應(yīng)通知駕駛員。（R-2）（檢測）

• C-1：由于駕駛技術(shù)，安全駕駛員踩下制動踏板太晚。
• C-2：安全駕駛員踩下制動踏板太晚，因為他必須按照程序操作。
• C-3：安全駕駛員踩下制動踏板太晚，因為他了解車輛系統(tǒng)。

• B-2.1：安全駕駛員認(rèn)為有關(guān)何時踩下制動踏板的程序是正確的（可能是不正確的）。
• B-2.2：安全駕駛員認(rèn)為他正確地遵循了踩下制動踏板的程序。

• CF-2.2.1：安全駕駛員對程序的理解不正確。
• CF-2.2.2：該程序過于復(fù)雜，安全駕駛員在踩下制動踏板之前無法理解或正確記住。

• 預(yù)防要求（CF-2.2.2）：關(guān)于何時以及如何踩下制動踏板的程序應(yīng)簡單明了。（R-1）
• 檢測要求（CF-2.2.2）：如果程序過于復(fù)雜，安全駕駛員應(yīng)嘗試停車，而不是花時間理解程序。（R-2）

• 繼續(xù)掌握STPA分析方法，按照STPA四步順序分析后，對每個STPA分析結(jié)果（系統(tǒng)級別的風(fēng)險、違反該分享的控制動作、出現(xiàn)該控制動作的原因、因果因素、對系統(tǒng)的要求）分配編號并建立追溯圖，這樣大大提高了系統(tǒng)的可維護(hù)性和可發(fā)展性
• 建立因果因素模型，文中第二部分第四步將STPA分析方法的過程信念模型與要分析的方向相結(jié)合，在建立控制模型中也是如此，很有借鑒意義。