系統理論程序分析

系統理論程序分析（STPA）是由麻省理工學院（MIT）的Nancy Leveson教授提出，一種基於系統理論的危害分析方法。其核心思想是，事故不僅由組件故障引起，更常源於系統設計中各組件間交互作用的缺陷，以及不安全的控制行為（Unsafe Control Actions, UCAs）。STPA採用由上而下的分析模式，首先定義系統層級的損失（Losses）與危害（Hazards），接著建立系統的控制結構模型，並從中識別可能導致危害的UCAs。這使其特別適用於分析軟體密集型、人機互動複雜的系統。在汽車產業，STPA被用於執行ISO 26262功能安全標準中的危害分析與風險評估（HARA），以及ISO/SAE 21434網路安全標準中的威脅分析與風險評估（TARA），能有效識別因軟體缺陷、複雜互動或網路攻擊引發的系統性風險，彌補了傳統故障樹分析（FTA）或失效模式與影響分析（FMEA）僅關注硬體隨機故障的不足。

企業導入STPA通常遵循四個核心步驟，以系統化地識別並控制風險。第一步：定義分析目標，包含識別不可接受的系統級損失（如人員傷亡、財產損失）及與之相關的系統危害。第二步：建立控制結構模型，描繪系統中各控制器、受控流程、感測器與致動器之間的指揮與反饋迴路。第三步：識別不安全控制行為（UCAs），分析在何種情境下，控制指令的提供、未提供、提供時機或持續時間不當會導致危害。第四步：識別損失情境（Loss Scenarios），探討導致UCAs發生的原因，包括軟體缺陷、硬體故障、人為失誤或惡意網路攻擊。例如，一家汽車製造商在開發先進駕駛輔助系統（ADAS）時，利用STPA發現「自動緊急煞車系統在高速公路上錯誤啟動」此一UCA。透過分析，他們追溯到感測器數據融合演算法的缺陷是根本原因，從而制定了更精確的安全需求，確保符合ISO 26262 ASIL D等級要求。導入STPA可將危害識別完整度提升超過20%，並顯著降低後期設計修改的成本。

台灣企業導入STPA主要面臨三項挑戰。首先，專業人才短缺與學習曲線陡峭：相較於行之有年的FMEA/FTA，STPA需要系統工程與控制理論的跨領域知識，合格的分析師難尋。其次，初期投入成本較高：建立精確的系統控制結構模型需要大量時間與資源，對講求開發速度與成本效益的供應鏈廠商構成壓力。最後，工具鏈整合困難：許多企業現有的設計與驗證工具主要圍繞組件故障模型，STPA產出的抽象控制缺陷難以直接整合。為克服這些挑戰，建議採取分階段導入策略：初期可針對高風險或新開發的關鍵子系統進行試點計畫，並搭配外部專家顧問進行內部培訓，預計6個月內建立基礎能力。中期應投資導入支援STPA的專用軟體工具，以提高模型建構與分析效率。長期目標則是建立一套將STPA分析結果（如UCAs）與系統需求、軟體架構及測試案例自動連結的管理流程，這需要跨部門（系統、軟體、安全）協作，預計需12至18個月完成流程整合。

積穗科研股份有限公司專注台灣企業系統理論程序分析相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact