提到安全分析方法，大家比較熟知的有失效模式與影響分析（FMEA）、故障樹分析（FTA）、事件樹分析（ETA）、危險和可操作性分析（HAZOP）等。這些方法在分析故障時，往往依據(jù)線性事件鏈模型，認(rèn)為故障是由一系列的鏈狀失效事件和人為錯誤導(dǎo)致的。然而，隨著技術(shù)朝著綜合化和智能化方向發(fā)展，出現(xiàn)了很多原有的安全分析方法無法解決的問題。

根據(jù)STPA的最初提出者、麻省理工大學(xué)的 Nancy Leveson 教授在2003年發(fā)表的論文，組件之間的相互作用導(dǎo)致的復(fù)雜系統(tǒng)崩潰、與軟件相關(guān)的崩潰、高度復(fù)雜的人為決策以及系統(tǒng)適應(yīng)性或事故隨時間的遷移等都會導(dǎo)致危害事件的發(fā)生。

在這一背景下，傳統(tǒng)的安全分析方法受到挑戰(zhàn)，一個能夠解決復(fù)雜系統(tǒng)安全分析問題的新方法——STPA應(yīng)運(yùn)而生。

01、什么是STPA？

STPA（system-theoretic process analysis），中文譯為“系統(tǒng)理論過程分析”，是一個基于事故因果關(guān)系擴(kuò)展模型的危害分析模型。該分析模型認(rèn)為，即使系統(tǒng)里的每個要素都正常工作，但事故仍然可能發(fā)生，因?yàn)橄到y(tǒng)要素之間可能存在不安全的交互。

值得一提的是，STPA 并非汽車領(lǐng)域?qū)俚姆治龇椒ǎ壳耙呀?jīng)廣泛應(yīng)用于航空航天、鐵路等行業(yè)。

與傳統(tǒng)的安全分析方法相比，STPA的優(yōu)勢在于可以分析非常復(fù)雜的系統(tǒng)，且涵蓋了軟件和人為操作兩個傳統(tǒng)安全分析方法沒有涵蓋的內(nèi)容，確保危害分析包含所有可能導(dǎo)致?lián)p失的因素。

02、STPA分析四步法

使用STPA進(jìn)行安全分析分為4個步驟：

1. 明確分析目的

2. 控制結(jié)構(gòu)建模

3. 識別不安全的控制行為

4. 識別損失場景

2.1 明確分析目的

明確損失（Loss）。由于STPA是一個不僅僅適用于汽車制造等工業(yè)領(lǐng)域的安全分析方法，因此一切對利益相關(guān)者有價值的東西都可能轉(zhuǎn)化為損失。

對于不同的利益相關(guān)者來說（用戶和生產(chǎn)商），關(guān)注的損失不同；對同一個利益相關(guān)者來說，關(guān)注的損失也可能有很多種（喪失生命、喪失電力供應(yīng)等）。

在進(jìn)行STPA分析時，首先要明確本次分析關(guān)注的損失是什么。

明確系統(tǒng)邊界。安全分析是系統(tǒng)層面的分析，需要事先確定關(guān)注的系統(tǒng)邊界在哪里。一個系統(tǒng)通常包含輸入、輸出兩條線且往往由多個子系統(tǒng)組成。

明確系統(tǒng)危害（Hazard）。一個危害可能會導(dǎo)致一個或多個損失。危害與損失的一個重要區(qū)別在于，危害與系統(tǒng)設(shè)計者/操作者具備控制能力的環(huán)節(jié)有關(guān)，損失則與環(huán)境中并不能完全控制的因素有關(guān)。相比之下，損失更像是一個宏大的目標(biāo)和概念，危害則與系統(tǒng)的具體功能息息相關(guān)。

明確系統(tǒng)限制。通俗來說，系統(tǒng)限制就是把系統(tǒng)危害進(jìn)行反向表述。

2.2 控制結(jié)構(gòu)建模

通常來說，一個控制結(jié)構(gòu)中至少包含五個要素：

• 控制器

• 控制行為

• 反饋

• 其他來自要素的輸入或輸出

• 控制過程

在構(gòu)建控制結(jié)構(gòu)時，可以從一些能夠強(qiáng)制執(zhí)行約束或防止危害發(fā)生的子系統(tǒng)出發(fā)。

在完成控制結(jié)構(gòu)構(gòu)建后，我們需要為每一個控制結(jié)構(gòu)賦予“責(zé)任”（responsibility），再依據(jù)每一個結(jié)構(gòu)的“責(zé)任”，去識別出控制行為和反饋的內(nèi)容。

2.3 識別不安全的控制行為

不安全的控制行為（UCA）是指在某些條件下會導(dǎo)致危害的控制行為。通常，不安全的控制行為可以以4種形式表現(xiàn)，為我們分析提供框架和思路：

• 未提供控制行為導(dǎo)致危害

• 提供控制行為導(dǎo)致危害

• 太早/太晚/錯誤順序提供了控制行為

• 控制行為持續(xù)時間太長或結(jié)束太快

識別控制器約束?？刂破骷s束是指需要被滿足以防止危害發(fā)生的控制器行為。在不安全的控制行為（UCA）被確定后，要逐一將其轉(zhuǎn)換為控制器約束。

2.4 明確損失場景

損失場景包括：導(dǎo)致不安全控制行為的場景，以及控制行為沒有適當(dāng)執(zhí)行或沒有執(zhí)行的場景。

通常來說，導(dǎo)致不安全控制行為的場景可能包括：控制器故障、不充分的控制器算法、不安全的控制輸入、不安全的過程模型。

與不充分的反饋和信息相關(guān)的場景可能包括：反饋或信息沒有接收到、接收了不充分的反饋。

03、以自動緊急制動系統(tǒng)（AEB）為例進(jìn)行STPA分析

自動緊急制動系統(tǒng)（AEB）可以通過傳感器等識別前方障礙物，基于速度、距離等數(shù)據(jù)計算車輛與目標(biāo)物的碰撞時間，判斷是否會發(fā)生碰撞，并結(jié)合車輛和駕駛員狀態(tài)判斷是否會發(fā)生碰撞，如果預(yù)測到碰撞會自主操作控制器讓車輛緊急制動。

這一過程涉及三個模塊：控制模塊（ECU）、測距模塊和制動模塊。

第一步：明確分析目的

在這個案例中，我們分析的系統(tǒng)是自動緊急制動系統(tǒng)，系統(tǒng)的相關(guān)功能已在上文闡明。在這個案例中，我們主要明確兩方面的損失（Loss）：駕駛員受傷或死亡、車輛損壞。

基于此，我們進(jìn)一步明確危害，并明確系統(tǒng)限制：車輛在行駛過程中應(yīng)該與前車保持最小安全距離。

第二步：構(gòu)建控制模型

在AEB中，制動器控制車輛剎車，傳感器將包括車輪狀態(tài)在內(nèi)的一系列車輛信息及環(huán)境信息傳輸給功能平臺，功能平臺加工后將角度、速度、位置等信息傳輸給制動器控制車輪運(yùn)動。基于這一控制邏輯，形成下圖的控制系統(tǒng)。

第三步：識別不安全的控制行為

根據(jù)前文所述的步驟，不安全的控制行為主要有四方面，下表列出了可能的不安全控制行為，并將其轉(zhuǎn)換為控制器約束。

第四步：明確損失場景

在明確了不安全的控制行為后，我們要進(jìn)一步推導(dǎo)出UCA的因果場景。比如，UCA1可能由以下一些環(huán)節(jié)因素導(dǎo)致。

以上就是以自動緊急制動系統(tǒng)（AEB）為例進(jìn)行的STPA 分析?？偨Y(jié)來說，STPA比較擅長復(fù)雜系統(tǒng)的分析，除了可以識別出傳統(tǒng)分析方法無法識別的一些隨機(jī)場景危害外，在時間和資源成本上也更有優(yōu)勢，目前已逐步應(yīng)用于汽車特別是自動駕駛領(lǐng)域。