STPA(系统理论过程分析)是一种由麻省理工学院Nancy Leveson教授提出的新型危害分析方法,广泛应用于航天、航空等领域,并在ISO21448中引入。本文介绍了STPA的四个核心步骤:定义分析目的、构建控制结构、识别不安全控制行为(UCA)及识别致因场景。
STPA简介
STPA(Systems Theoretic Process Analysis)是由麻省理工学院Nancy Leveson教授基于STAMP(System-Theoretic Accident Model and Processes,系统理论的事故模型和过程)提出了一种新的危害分析方法,现已在航天、航空、国防、核电等行业得到了广泛应用。由于自动驾驶领域的逐步发展,系统复杂度逐渐增加,因此在ISO 21448中也引入了STPA。
详细信息可查看STPA官网:http://psas.scripts.mit.edu/home
*引自STPA Handbook (translation by CAUC),链接:http://psas.scripts.mit.edu/home/get_file3.php?name=STPA_handbook_chinese.pdf
第一步:定义分析目
*引自STPA Handbook (translation by CAUC),链接:http://psas.scripts.mit.edu/home/get_file3.php?name=STPA_handbook_chinese.pdf
该分析所要避免何种损失?是否仅为达到传统的安全目标诸如防止人身伤害而应用STPA,或是需要将STPA 应用到更广泛的领域,如安保、隐私、性能或是其他系统特性上?被分析的系统是什么系统,系统边界在哪?这些问题以及其他基础性问题将在本步骤中得到答案。
定义分析目的分为四部分:
- 定义损失(事故)
- 识别系统层级危险
- 确定系统层级安全约束
- 提炼危险(可选)
第二步:构建控制结构
控制结构通过一套反馈控制回路为系统建模捕捉功能性关系及相互作用。控制结构通常起始于较为抽象的层级并通过迭代调整以捕捉更多系统细节。
*引自STPA Handbook (translation by CAUC),链接:http://psas.scripts.mit.edu/home/get_file3.php?name=STPA_handbook_chinese.pdf
第三步:识别不安全控制行为(UCA)
分析控制结构中的控制行为,以验证此类行为如何导致第一步中所提到的损失。此类不安全控制行为用于生成系统的功能性要求与限制。
不安全控制行为(UCA):指的是在特定情境及最坏环境下可能导致危险的控制行为出现以下四种情况,代表控制行为可能存在安全隐患
- 未提供控制行为导致危险。
- 提供控制行为后导致危险。
- 提供可能安全的控制行为但提供节点过早、过晚或顺序错误
- 控制行为持续太久或停止过早(仅针对持续性控制行为而非离散行为)。
第四步:识别致因场景
构建适当情境以解释以下内容:
- 不正确反馈、不充分要求、设计错误、组件失效以及其他因素如何导致不安全控制行为并最终导致损失。
- 没有恰当地遵守或执行所提供的安全控制行为如何导致损失。
一旦识别了这样的场景,即可用于生成其他需求、识别缓解措施、改进系统架构、提出设计建议以及新的设计决策(如在研发阶段使用STPA)、评估/回顾现有的设计决策及识别差距(如在设计完成后使用STPA)、定义测试用例并生成测试计划、形成风险领先指标以及其他应用。
致因场景:可能导致不安全控制行为以及危险的诱发因素,必须考虑以下两类致因场景:
总结
由于近期在阅读21448,其中提到STPA方法,遂进行了简单的了解,以下几点想法,不知道对不对,欢迎大家批评指正:
- SPTA相对于传统的FTA、ETA、FMEA覆盖领域可能更广一些;
- 汽车领域目前使用该方法使用的较少,据说北美一些车厂在引入方法;
- SPTA分析对象应为一个系统或子系统,单个部件使用可能较为困难;
- 目前来看自动驾驶领域有较大可能应用该方法。
最后,由于自己只是粗略过了一遍手册,还未真正领会STPA的奥义,欢迎大家到官网下载原文阅读:http://psas.scripts.mit.edu/home*
扫一扫
335
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
