STAMP、STPA和CAST介绍

系统理论事故模型和过程(STAMP)框架是一种基于系统理论开发的事故因果关系模型，其依据的系统理论的开发者是麻省理工学院航空航天系Nancy Leveson教授*，Nancy教授在安全工程领域拥有37年的工作经验，涉及航空、航天、国防、核电、医疗、石化等多个行业。STAMP的出现，为系统安全工程提供了一个新的范例，并且其在整个运输行业中的应用越发广泛。我们将简要介绍STAMP及其相关过程、系统理论过程分析(STPA)以及利用系统理论进行因果分析(CAST)。

系统理论和控制理论背景

需要注意的是，系统理论不同于系统工程。了解这一点有助于理解STAMP。系统理论是一门复杂的交叉学科。其核心是将任意单一个体作为一个系统进行检查，以便充分理解个体构成。

控制理论主要研究工程过程和机器中的动态系统控制。STAMP中广泛采用的核心概念包括建模、反馈、控制和可观察性。STAMP以结构化方式整合理论模型，以确定事故原因以及导致损失的控制失当问题。

从网上可以找到有关STAMP的重要信息。尽管STAMP的许多基本思想在Nancy G. Leveson博士早期工作中即已出现，但实际上STAMP这个术语在2004年的《一种用于设计更安全系统的新事故模型》(A New Accident Model for Engineering Safer Systems)论文中才正式引入。本文将解释STAMP的基本原理和基本原则。

STAMP是一种框架，而非方法或工具。目前STAMP包含两个类似的方法：

• 系统理论过程分析 - STPA 
• 运用系统理论进行因果分析 - CAST 

STPA基础

STPA是一种用于识别因不安全控制行为引发危险的方法。Leveson博士此前开发了一种包含四个关键步骤的结构化程序来识别这些危险。我们的专家曾在产品开发各个阶段利用STPA为功能安全分析提供支持，最终发现该控制模型很有益处，特别是在复杂的系统中作用尤为明显，如自动驾驶和网络安全。

CAST基础

CAST是一种用于识别可能导致事故的控制失当问题的方法。通过对此前发生的事故进行CAST分析，并利用类似的结构化控制理论方法，就可以了解问题根源，从而获得更多的经验教训。以下是基本步骤概述： 

STPA和CAST采用的框架全部依赖于相似的结构化方法：收集输入数据；建立控制结构模型；分析不安全的控制行为/缺陷；减轻影响。此方法的核心是关注控制系统中控制元素之间的关系或相互作用，而这对于许多精通传统安全方法的人而言可能比较陌生。另外，Leveson博士还引入了新的术语和框架，这些术语和框架与传统技术相结合，可以更加精准地确定可能的根本原因以及对应的缓解措施。这些好处可以惠及与安全有关的行业和部门。

STAMP与其他方法的比较

我们的专家利用各种框架，包括失效模式&和影响分析(FMEA)、STPA和故障树分析(FTA)，进行安全分析。每种框架都因系统、操作环境、分析范围和应用不同而显现出不同的优点和缺点。通过比较，我们并未发现有哪种框架优势明显。尽管如此，STAMP还是为传统的安全分析提供了一种补充分析方法 - 其采用控制理论模型而非故障管理模型对事故建模。STAMP的一个重要优点是能够突出控制结构内部的相互作用，以识别可能导致事故或者STPA称之为损失的薄弱点。在进行危险分析时，将传统方法与STAMP相结合可生成一个综合性的、非常有利于在高级驾驶辅助系统(ADAS)和自动驾驶系统(ADS)开发中实现的安全档案。

*bet韦德官方网站 与 Leveson 博士无任何关联。本文中的所有观点和分析均仅代表 bet韦德官方网站 的立场。

阅读我们的相关内容

功能安全