本作品联合MIT教练NancyLeveson的体例工程表面和一面领略实行拾掇。目前正在主动驾驶体例供应商（除Bosch和AVL外）的开荒流程中很少由睹到STPA使用的陈迹，但关于

目前正在主动驾驶体例供应商（除Bosch和AVL外）的开荒流程中很少由睹到STPA使用的陈迹，但关于主动驾驶体例来说，STPA关于三级主动化以上体例级工程的助助是庞大的，这种源自于航天工程的体例阐述东西将正在很大水准上助助实现Costdown的管事。

WhatisSTAMPandhowdoesitdifferfromwhatpeopledonow?

正在体例太平的界限，产物开荒现有的太平步骤仍然存正在了近70年，闭连思思和东西并没有太众的调换，但闭连体例中的软件比例却动手大幅晋升，如下图：

从1970年动手，人们动手应用估量机配置用于职掌体例，加添了体例纷乱性和新身手的烦琐度，也调换了人们职掌体例的体例，人们动手扩展原有的东西使用于新的体例太平界限，但功效甚微，其由来正在于原有老旧的太平东西著重于古代职掌模子下失效事情的爆发由来，而新的职掌模子仍然到来。关于马车的阐述设施很难使用于对导弹的阐述中来。

因为体例的职掌模子跟着估量机职掌体例的到来而爆发的蜕变，其性质由来正在于软件带给体例的蜕变，但这里并不虞味着软件的失效，大片面的软件自己是不会失效的，软件只是正在一个主意平台上达成性能的东西。Softwareispuredesignanddesigndonotfail.因此正在体例工程的界说中，软件并不会展现如硬件日常的RandomFailure.

2.正在足够成熟的但展现题目的体例中，软件的题目最终总会映照到体例策画的亏空，正在体例策画中或者会展现的两个题目为：

关于主动驾驶体例来说，体例工程由体例架构师提倡，确定体例需求，由软件工程师领略体例需求后策画软件体例，人们的目力往往更众的聚焦于软件工程师的Coding的实践，而小看了体例工程中厉重的体例需求的历程，而往往软件工程的质料并不行全部笼罩体例工程的质料。

无法计算、领略、预测和反抗不期的体例举动，古代的纯硬件举动意味着可预测的职掌，但软件带来的职掌的新体例带来了新的危机。

波音747的软件正在其平台上是太平的，但并不虞味着正在波音737的平台上同样太平，也即是说独立的软件太平并不会裁夺体例的太平，人们能够说体例正在某主意平台上正在某种情状下是太平的，但无法以为体例是太平的。辅助驾驶体例往往央求驾驶员的双手放正在目标盘上，但即使正在目标盘上用其他的体例施加同样的力矩辅助驾驶体例便无法检测，导致体例缺点的感知到人的计划，极易导致交透风险。而这一共的性质就正在于软件带来的职掌思想的蜕变。

模块间的交互失效往往不只闭连到接口的失效，还闭连到体例策画框架的缺陷，这些题目是最难以察觉并处分的。

从体例策画自己的角度上看，操作家的缺点是一种症结，而不是一种病因，正在高纷乱度的体例管事中操作家的脚色与古代体例存正在不相似的情状，与此同时体例的策画自己也存正在着承诺操作家实行误操作的接口，这就央求正在体例策画的历程中留意配置的策画以及无道理操作的节减。

2.WhatisSTAMPandhowdoesitdifferfromwhatpeopledonow?

STAMP(System-TheoreticAccidentModelandProcesses)是一种用来描绘变乱是怎么爆发的模子，它将太平界说为一个职掌题目，用于巨型纷乱的体例，包蕴软件，硬件，人类，运转，拘束等众个方面。STAMP以为危急来自于关于体例策画和运转短少安整体部的由来，STAMP的目标是职掌体例的举动以局部体例的太平。

体例太平的管事历程践行了STAMP的核情绪思，WaystoCopewithcomplexity：

日常情状下，若需求策画一个高纷乱度的体例，第一件工作即是把高纷乱度的体例分为小的片面，咱们能够将体例以为物理层面和性能层面的存正在，那么就能够将体例实行物理划分和性能划分后实行独立的阐述和策画。这一共的管事征战正在子体例间足够独立、子体例间不会展现非线性的交互，和子体例均能正在母体例中协同管事的根蒂上。

正在当下的主动驾驶体例中这些情状较着难以知足，只实行FMEA，FTA此类管事东西关于体例太平较着仍然无法知足需求，正在当下的纷乱体例的体例太平策画思思中，冗余和分开，高集成度，Fail-safe的体例政策需求被琢磨，关于操作家来说，操作空间、操作流程、Checklist，培训的设施也同样被列为厉重的权谋。

体例工程影响正在纷乱体例的无缺阐述上，用心于无缺的体例而非独立的子体例，征求全体的社会身分以及身手身分

STAMP架构下的体例模子即是下图中大环套小环的存正在，假设最底层的职掌逻辑是辅助驾驶性能ACC最根基的逻辑，征求感知计划和实施三个层面，那么还会由最底层的性能体例延迟到上层的操作域，到公司拘束、闭连公法准则以及国会：

正在模子开荒的根蒂上，职掌模子关于体例管事Process的职掌表面上能够正在早期更好地职掌被控对象的危机。

STPA是一种从上至下的体例阐述东西，它能够用来阐述体例中任何身分的安整体部，用于天生太平需求，它能够用来阐述违反闭连安整体部的场景用来升高体例的稳当性，它能够用来做身手的策画以及构制的策画，它能够助助早期的策画管事和中后期的策画迭代和进化。

上图是正在工业界的一个经典的职掌回道，估量机职掌CATALYST和COOLINGWATER的阀门，软件工程师收到的需求往往是当有任何的缺点爆发时，搁浅职掌链中的任何管事并发出警报指导操作家。看上去毫无题目的一条需求却有着致命的缺陷，但当GEARBOX中的油位很低时，估量机搁浅管事，一共搁浅，操作工加满GEARBOX的油量后重启的功夫估量机先掀开了CATALYST的阀门，后掀开了COOLINGWATER的阀门，导致REACTOR过热展现紧急。正在无缺的职掌链中软件依照需求没有展现任何题目，其题目源于早期体例策画的亏空。

咱们平淡会应用物理模子的体例举动软件需求的输入，但当性能模子被天生时，个中往往会展现未酿成闭环的情状，导致体例职掌政策的缺失。

能够应用表格的体例，关于Process做出定性的职掌，以阐述正在区别的情状下，CATALYST与COOLWATER关于体例的影响，通过这种体例，能够取得早期的HighLevelRequirement：

Water valve shall always be fully open before catalyst valve is opened

Water valve shall not be opened more than X seco

Catalyst valve shall always be fully closed before water valve is closed

Catalyst valve shall not be closed more than X seco

当咱们取得了HighLevelRequirement的功夫咱们需求阐述担心全的职掌举动并避免或削弱其影响，如：

Software shall check for feedback after issuing an Open/Close command. If not received in a specified time period, then assume valve not opened or closed

ntroller to determine that water is actually flowing through pipe before issuing an Open Catalyst command

STPA仍然被用于太空、国防、汽车、核电等厉重界限，比拟FTA，HAZOP，FMEA，ETA来说，STPA同样阐述紧急的来历，并能够更好的察觉与软件和人类闭连的危急由来。恰是由于STPA能够正在早期确认危机的存正在，正在Top-Down体例开荒的流程中比拟于应用古代太平阐述东西的体例开荒的本钱将被进一步的低落。

汽车测试网-建设于2008年，报道汽车测试身手与产物、趋向、动态等 接洽邮箱 marketing#auto-testing.net (把#改成@)