提到安全分析方法，大家比較熟知的有失效模式與影響分析（FMEA）、故障樹分析（FTA）、事件樹分析（ETA）、危險(xiǎn)和可操作性分析（HAZOP）等。這些方法在分析故障時(shí)，往往依據(jù)線性事件鏈模型，認(rèn)為故障是由一系列的鏈狀失效事件和人為錯(cuò)誤導(dǎo)致的。然而，隨著技術(shù)朝著綜合化和智能化方向發(fā)展，出現(xiàn)了很多原有的安全分析方法無(wú)法解決的問(wèn)題。

根據(jù)STPA的最初提出者、麻省理工大學(xué)的 Nancy Leveson 教授在2003年發(fā)表的論文，組件之間的相互作用導(dǎo)致的復(fù)雜系統(tǒng)崩潰、與軟件相關(guān)的崩潰、高度復(fù)雜的人為決策以及系統(tǒng)適應(yīng)性或事故隨時(shí)間的遷移等都會(huì)導(dǎo)致危害事件的發(fā)生。

在這一背景下，傳統(tǒng)的安全分析方法受到挑戰(zhàn)，一個(gè)能夠解決復(fù)雜系統(tǒng)安全分析問(wèn)題的新方法——STPA應(yīng)運(yùn)而生。

01、什么是STPA？

STPA（system-theoretic process analysis），中文譯為“系統(tǒng)理論過(guò)程分析”，是一個(gè)基于事故因果關(guān)系擴(kuò)展模型的危害分析模型。該分析模型認(rèn)為，即使系統(tǒng)里的每個(gè)要素都正常工作，但事故仍然可能發(fā)生，因?yàn)橄到y(tǒng)要素之間可能存在不安全的交互。

值得一提的是，STPA 并非汽車領(lǐng)域?qū)俚姆治龇椒?，目前已?jīng)廣泛應(yīng)用于航空航天、鐵路等行業(yè)。

與傳統(tǒng)的安全分析方法相比，STPA的優(yōu)勢(shì)在于可以分析非常復(fù)雜的系統(tǒng)，且涵蓋了軟件和人為操作兩個(gè)傳統(tǒng)安全分析方法沒(méi)有涵蓋的內(nèi)容，確保危害分析包含所有可能導(dǎo)致?lián)p失的因素。

02、STPA分析四步法

使用STPA進(jìn)行安全分析分為4個(gè)步驟：

1. 明確分析目的

2. 控制結(jié)構(gòu)建模

3. 識(shí)別不安全的控制行為

4. 識(shí)別損失場(chǎng)景

2.1 明確分析目的

明確損失（Loss）。由于STPA是一個(gè)不僅僅適用于汽車制造等工業(yè)領(lǐng)域的安全分析方法，因此一切對(duì)利益相關(guān)者有價(jià)值的東西都可能轉(zhuǎn)化為損失。

對(duì)于不同的利益相關(guān)者來(lái)說(shuō)（用戶和生產(chǎn)商），關(guān)注的損失不同；對(duì)同一個(gè)利益相關(guān)者來(lái)說(shuō)，關(guān)注的損失也可能有很多種（喪失生命、喪失電力供應(yīng)等）。

在進(jìn)行STPA分析時(shí)，首先要明確本次分析關(guān)注的損失是什么。

明確系統(tǒng)邊界。安全分析是系統(tǒng)層面的分析，需要事先確定關(guān)注的系統(tǒng)邊界在哪里。一個(gè)系統(tǒng)通常包含輸入、輸出兩條線且往往由多個(gè)子系統(tǒng)組成。

明確系統(tǒng)危害（Hazard）。一個(gè)危害可能會(huì)導(dǎo)致一個(gè)或多個(gè)損失。危害與損失的一個(gè)重要區(qū)別在于，危害與系統(tǒng)設(shè)計(jì)者/操作者具備控制能力的環(huán)節(jié)有關(guān)，損失則與環(huán)境中并不能完全控制的因素有關(guān)。相比之下，損失更像是一個(gè)宏大的目標(biāo)和概念，危害則與系統(tǒng)的具體功能息息相關(guān)。

明確系統(tǒng)限制。通俗來(lái)說(shuō)，系統(tǒng)限制就是把系統(tǒng)危害進(jìn)行反向表述。

2.2 控制結(jié)構(gòu)建模

通常來(lái)說(shuō)，一個(gè)控制結(jié)構(gòu)中至少包含五個(gè)要素：

• 控制器

• 控制行為

• 反饋

• 其他來(lái)自要素的輸入或輸出

• 控制過(guò)程

在構(gòu)建控制結(jié)構(gòu)時(shí)，可以從一些能夠強(qiáng)制執(zhí)行約束或防止危害發(fā)生的子系統(tǒng)出發(fā)。

在完成控制結(jié)構(gòu)構(gòu)建后，我們需要為每一個(gè)控制結(jié)構(gòu)賦予“責(zé)任”（responsibility），再依據(jù)每一個(gè)結(jié)構(gòu)的“責(zé)任”，去識(shí)別出控制行為和反饋的內(nèi)容。

2.3 識(shí)別不安全的控制行為

不安全的控制行為（UCA）是指在某些條件下會(huì)導(dǎo)致危害的控制行為。通常，不安全的控制行為可以以4種形式表現(xiàn)，為我們分析提供框架和思路：

• 未提供控制行為導(dǎo)致危害

• 提供控制行為導(dǎo)致危害

• 太早/太晚/錯(cuò)誤順序提供了控制行為

• 控制行為持續(xù)時(shí)間太長(zhǎng)或結(jié)束太快

識(shí)別控制器約束?？刂破骷s束是指需要被滿足以防止危害發(fā)生的控制器行為。在不安全的控制行為（UCA）被確定后，要逐一將其轉(zhuǎn)換為控制器約束。

2.4 明確損失場(chǎng)景

損失場(chǎng)景包括：導(dǎo)致不安全控制行為的場(chǎng)景，以及控制行為沒(méi)有適當(dāng)執(zhí)行或沒(méi)有執(zhí)行的場(chǎng)景。

通常來(lái)說(shuō)，導(dǎo)致不安全控制行為的場(chǎng)景可能包括：控制器故障、不充分的控制器算法、不安全的控制輸入、不安全的過(guò)程模型。

與不充分的反饋和信息相關(guān)的場(chǎng)景可能包括：反饋或信息沒(méi)有接收到、接收了不充分的反饋。

03、以自動(dòng)緊急制動(dòng)系統(tǒng)（AEB）為例進(jìn)行STPA分析

自動(dòng)緊急制動(dòng)系統(tǒng)（AEB）可以通過(guò)傳感器等識(shí)別前方障礙物，基于速度、距離等數(shù)據(jù)計(jì)算車輛與目標(biāo)物的碰撞時(shí)間，判斷是否會(huì)發(fā)生碰撞，并結(jié)合車輛和駕駛員狀態(tài)判斷是否會(huì)發(fā)生碰撞，如果預(yù)測(cè)到碰撞會(huì)自主操作控制器讓車輛緊急制動(dòng)。

這一過(guò)程涉及三個(gè)模塊：控制模塊（ECU）、測(cè)距模塊和制動(dòng)模塊。

第一步：明確分析目的

在這個(gè)案例中，我們分析的系統(tǒng)是自動(dòng)緊急制動(dòng)系統(tǒng)，系統(tǒng)的相關(guān)功能已在上文闡明。在這個(gè)案例中，我們主要明確兩方面的損失（Loss）：駕駛員受傷或死亡、車輛損壞。

基于此，我們進(jìn)一步明確危害，并明確系統(tǒng)限制：車輛在行駛過(guò)程中應(yīng)該與前車保持最小安全距離。

第二步：構(gòu)建控制模型

在AEB中，制動(dòng)器控制車輛剎車，傳感器將包括車輪狀態(tài)在內(nèi)的一系列車輛信息及環(huán)境信息傳輸給功能平臺(tái)，功能平臺(tái)加工后將角度、速度、位置等信息傳輸給制動(dòng)器控制車輪運(yùn)動(dòng)?；谶@一控制邏輯，形成下圖的控制系統(tǒng)。

第三步：識(shí)別不安全的控制行為

根據(jù)前文所述的步驟，不安全的控制行為主要有四方面，下表列出了可能的不安全控制行為，并將其轉(zhuǎn)換為控制器約束。

第四步：明確損失場(chǎng)景

在明確了不安全的控制行為后，我們要進(jìn)一步推導(dǎo)出UCA的因果場(chǎng)景。比如，UCA1可能由以下一些環(huán)節(jié)因素導(dǎo)致。

以上就是以自動(dòng)緊急制動(dòng)系統(tǒng)（AEB）為例進(jìn)行的STPA 分析?？偨Y(jié)來(lái)說(shuō)，STPA比較擅長(zhǎng)復(fù)雜系統(tǒng)的分析，除了可以識(shí)別出傳統(tǒng)分析方法無(wú)法識(shí)別的一些隨機(jī)場(chǎng)景危害外，在時(shí)間和資源成本上也更有優(yōu)勢(shì)，目前已逐步應(yīng)用于汽車特別是自動(dòng)駕駛領(lǐng)域。