目前在自動駕駛系統供應商（除Bosch和AVL外）的開發流程中很少由見到STPA應用的痕跡，但對于自動駕駛系統來說，STPA對于三級自動化以上系統級工程的幫助是巨大的，這種源自于航天工程的系統分析工具將在很大程度上幫助完成Costdown的工作。

Cost during development

本文依據Nancy教授的系統安全分析邏輯分為以下五個部分：

Whydoweneedsomethingelse?

WhatisSTAMPandhowdoesitdifferfromwhatpeopledonow?

Whatkindsoftoolsareavailable?

Howisitbeingused?

Doesitwork?

Whydoweneedsomethingelse?

在系統安全的領域，產品開發現有的安全措施已經存在了近70年，相關思想和工具并沒有太多的改變，但相關系統中的軟件比例卻開始大幅提升，如下圖：

從1970年開始，人們開始使用計算機設備用于控制系統，增加了系統復雜性和新技術的冗雜度，也改變了人們控制系統的方式，人們開始擴展原有的工具應用于新的系統安全領域，但收效甚微，其原因在于原有老舊的安全工具著重于傳統控制模型下失效事件的發生原因，而新的控制模型已經到來。對于馬車的分析方法很難應用于對導彈的分析中來。

對于現代的系統工程而言，計算機軟件對于系統的影響分為四個方面：

由于系統的控制模型隨著計算機控制系統的到來而發生的變化，其本質原因在于軟件帶給系統的變化，但這里并不意味著軟件的失效，大部分的軟件本身是不會失效的，軟件只是在一個目標平臺上實現功能的工具。Softwareispuredesignanddesigndonot"fail".所以在系統工程的定義中，軟件并不會出現如硬件一般的RandomFailure.

2.在足夠成熟的但出現問題的系統中，軟件的問題最后總會映射到系統設計的不足，在系統設計中可能會出現的兩個問題為：

對于被控系統或計算機錯誤或不完整的需求

不能被解決的系統狀態和環境因素

對于自動駕駛系統來說，系統工程由系統架構師發起，確定系統需求，由軟件工程師理解系統需求后設計軟件系統，人們的眼光往往更多的聚焦于軟件工程師的Coding的實施，而忽視了系統工程中重要的系統需求的過程，而往往軟件工程的質量并不能完全覆蓋系統工程的質量。

3.軟件幾乎允許無限制的系統復雜度,這意味著：

無法計劃、理解、預測和對抗不期的系統行為，傳統的純硬件行為意味著可預測的控制，但軟件帶來的控制的新方式帶來了新的風險。

需要使用足夠詳盡的測試以解決所有的系統設計錯誤。

波音747的軟件在其平臺上是安全的，但并不意味著在波音737的平臺上同樣安全，也就是說獨立的軟件安全并不會決定系統的安全，人們可以說系統在某目標平臺上在某種情況下是安全的，但無法認為系統是安全的。輔助駕駛系統往往要求駕駛員的雙手放在方向盤上，但如果在方向盤上用其他的方式施加同樣的力矩輔助駕駛系統便無法檢測，導致系統錯誤的感知到人的決策，極易導致交通風險。而這一切的本質就在于軟件帶來的控制思維的變化。

事故的發生存在于以下方面：

模塊失效事故

單點或多點模塊失效

隨機失效

以上的失效事件均可以通過同質或異質冗余的方式解決。

模塊交互失效

模塊間的復雜交互失效

模塊間的交互失效往往不但關系到接口的失效，還關系到系統設計框架的缺陷，這些問題是最難以發現并解決的。

4. 軟件的存在改變了人們在系統中的定義

系統的使用者或者交互人員往往難以做到對于系統的全面了解，可以使用以下的方式解決這個問題：

訓練系統的操作者等措施使系統操作者更加了解系統。

提高系統的自動化以代替操作者，或對于系統操作者提出操作的限制。

從系統設計自身的角度上看，操作者的錯誤是一種癥結，而不是一種病因，在高復雜度的系統工作中操作者的角色與傳統系統存在不一致的情況，與此同時系統的設計本身也存在著允許操作者進行誤操作的接口，這就要求在系統設計的過程中注意設備的設計以及無意義操作的減少。

Thatiswhyweneedsomethingnew!

2.WhatisSTAMPandhowdoesitdifferfromwhatpeopledonow?

STAMP(System-TheoreticAccidentModelandProcesses)是一種用來描述事故是如何發生的模型，它將安全定義為一個控制問題，用于巨型復雜的系統，包含軟件，硬件，人類，運行，管理等多個方面。STAMP認為危害來自于對于系統設計和運行缺少安全限制的原因，STAMP的目的是控制系統的行為以限制系統的安全。

并不使用預防危害的方式保證系統的安全，而使用安全限制的方式來控制系統表現

系統安全的工作過程踐行了STAMP的核心思想，WaystoCopewithcomplexity：

Analytic reduction

System theory and system engineering

什么是Analyticreduction？

一般情況下，若需要設計一個高復雜度的系統，第一件事情就是把高復雜度的系統分為小的部分，我們可以將系統認為物理層面和功能層面的存在，那么就可以將系統進行物理劃分和功能劃分后進行獨立的分析和設計。這一切的工作建立在子系統間足夠獨立、子系統間不會出現非線性的交互，和子系統均能在母系統中協同工作的基礎上。

在當下的自動駕駛系統中這些情況顯然難以滿足，只進行FMEA，FTA此類工作工具對于系統安全顯然已經無法滿足需要，在當下的復雜系統的系統安全設計思想中，冗余和隔離，高集成度，Fail-safe的系統策略需要被考慮，對于操作者來說，操作空間、操作流程、Checklist，培訓的方法也同樣被列為重要的手段。

什么是Systemtheoryandsystemengineering?

系統工程作用在復雜系統的完整分析上，專注于完整的系統而非獨立的子系統，包括所有的社會因素以及技術因素

STAMP架構下的系統模型就是下圖中大環套小環的存在，假設最底層的控制邏輯是輔助駕駛功能ACC最基本的邏輯，包括感知決策和執行三個層面，那么還會由最底層的功能系統延伸到上層的操作域，到公司管理、相關法律法規以及國會：

在模型開發的基礎上，控制模型對于系統工作Process的控制理論上可以在早期更好地控制被控對象的風險。

3.Whatkindsoftoolsareavailable？

STAMP只是一種理論，理論中包含許多過程與工具：

STPA是一種從上至下的系統分析工具，它可以用來分析系統中任何因素的安全限制，用于生成安全需求，它可以用來分析違反相關安全限制的場景用來提高系統的穩健性，它可以用來做技術的設計以及組織的設計，它可以幫助早期的設計工作和中后期的設計迭代和進化。

4.Howthetoolsbeingused?

上圖是在工業界的一個經典的控制回路，計算機控制CATALYST和COOLINGWATER的閥門，軟件工程師收到的需求往往是當有任何的錯誤發生時，停止控制鏈中的任何工作并發出警報提醒操作者。看上去毫無問題的一條需求卻有著致命的缺陷，但當GEARBOX中的油位很低時，計算機停止工作，一切停止，操作工加滿GEARBOX的油量后重啟的時候計算機先打開了CATALYST的閥門，后打開了COOLINGWATER的閥門，導致REACTOR過熱出現危險。在完整的控制鏈中軟件按照需求沒有出現任何問題，其問題源于早期系統設計的不足。

我們通常會使用物理模型的方式作為軟件需求的輸入，但當功能模型被生成時，其中往往會出現未形成閉環的情況，導致系統控制策略的缺失。

可以使用表格的方式，對于Process做出定性的控制，以分析在不同的情況下，CATALYST與COOLWATER對于系統的影響，通過這種方式，可以得到早期的HighLevelRequirement：

Water valve shall always be fully open before catalyst valve is opened

Water valve shall not be opened more than X seconds after catalyst valve open

Catalyst valve shall always be fully closed before water valve is closed

Catalyst valve shall not be closed more than X seconds after water valve has fully closed

當我們得到了HighLevelRequirement的時候我們需要分析不安全的控制行為并避免或減弱其影響，如：

分析若CATALYST打開而COOLING WATER沒有打開的原因

打開COOLING WATER的指令被發出，但沒有執行的原因

Etc...

通過在系統工程中對于Process的定性安全分析來確定安全危害的來源并添加新的需求：

Software shall check for feedback after issuing an Open/Close command. If not received in a specified time period, then assume valve not opened or closed

There must be feedback to controller to determine that water is actually flowing through pipe before issuing an Open Catalyst command

Full control loop example

5.Doesitwork?

STPA已經被用于太空、國防、汽車、核電等重要領域，相比FTA，HAZOP，FMEA，ETA來說，STPA同樣分析危險的來源，并可以更好的發現與軟件和人類相關的危害原因。正是因為STPA可以在早期確認風險的存在，在Top-Down系統開發的流程中相比于使用傳統安全分析工具的系統開發的成本將被進一步的降低。