分享轨道交通功能安全的系统论安全分析

基于系统工程理论的系统理论过程分析方法（STPA, System-Theory Process Analysis）是由MIT的Nancy Leveson教授提出，这种方法侧重于分析组成系统各部件之间的联系和实现安全功能时所满足的约束，汽车功能安全认为事故是由于控制中的环节出现了问题，由此发现控制过程中的各个环节之间由于非正常的交互或控制本身出错导致的问题。
STPA安全分析前需要具备两个前提条件：
一是识别场景中的事故和引起事故可能的危害，以及如何对危害进行控制避免事故的发生，也就是安全约束；
二是建立系统的控制结构图，形成安全分析的基础；
这两点前提条件要求分析者要深入系统设计，了解被分析对象的控制逻辑，以及它和其它外部系统之间的关系，做到知己知彼。
在具备以上条件后，STPA安全分析分为两步：
一是识别潜在的危险控制行为，它采用了控制过程中的四类典型引导词以便于分类识别，包括：
1.控制器未提供所需的控制行为；
2.控制器提供了错误的或不安全的控制行为；
3.在错误的时间（过早或过晚）提供控制行为；
4.控制行为停止的过早或作用时间过长。
二是分析以上四类不安全控制行为在运行场景中可能发生的致因点。这一步最 为关键，STPA提供了一个通用的致因模型，如下图所示，它不仅仅考虑部件本身的失效，也考虑了对象的控制算法，被控模型的不正确，与外部系统的关系，以及干扰影响，相比传统方法更为全面。
本文章来自51fusa功能安全社区：http://www.51fusa.com/client/knowledge/index.html