系統理論流程安全分析

STPA-Sec（系統理論流程安全分析）是一種源自麻省理工學院（MIT）的先進安全分析方法，為系統理論事故模型與流程（STAMP）的具體應用。與傳統著重於事件鏈或攻擊樹的分析方法不同，STPA-Sec將系統視為一個動態的控制問題，專注於識別「不安全的控制指令」（Unsafe Control Actions, UCAs）。它分析系統中因惡意攻擊、設計缺陷或環境互動而導致的控制器指令錯誤，如何引發系統層級的危害與損失。在汽車網路安全領域，STPA-Sec是實現ISO/SAE 21434標準中「威脅分析與風險評估」（TARA）的關鍵工具。它能更全面地識別出傳統方法可能忽略的系統性漏洞，例如多個組件交互作用下產生的新興威脅，從而確保自動駕駛等複雜系統的安全性與可靠性。

企業導入STPA-Sec以符合ISO/SAE 21434等規範，通常遵循以下步驟： 1. **定義系統目標與邊界**：首先，明確分析的系統範疇（如自動駕駛感知系統），並定義不可接受的系統級損失（如車輛碰撞）與相關危害（如未能偵測到前方障礙物）。 2. **建立控制結構模型**：繪製系統的階層式控制結構圖，標示出控制器（如ECU）、致動器、感測器以及它們之間的控制指令與回饋迴路。此模型是後續分析的基礎。 3. **識別不安全的控制指令（UCAs）**：針對模型中的每個控制指令，系統性地分析四種情況：指令未提供、提供時機錯誤、指令不正確或持續時間錯誤，如何導致系統危害。 4. **發掘肇因情境**：深入探討導致UCAs發生的原因，特別是來自網路安全的威脅，例如感測器訊號被欺騙、控制器軟體被竄改或通訊管道被阻斷。福特汽車（Ford）等國際車廠已應用此方法分析動力系統的安全性，有效將ISO/SAE 21434合規率提升超過20%，並在設計階段早期識別出關鍵安全漏洞，大幅降低後期修改成本。

台灣企業導入STPA-Sec主要面臨三大挑戰： 1. **跨領域知識整合困難**：STPA-Sec要求團隊同時具備系統工程、控制理論、軟體工程與網路安全的專業知識，而台灣企業內部常有部門壁壘，缺乏這類跨領域整合人才。對策是成立由不同部門專家組成的「產品安全應變小組」（PSIRT），並透過外部顧問（如積穗科研）提供專業培訓與導入指導，預計3個月內建立基礎能力。 2. **初期投入成本與時間高**：建立精確的系統控制結構模型需要大量時間與人力，對追求快速開發的企業形成障礙。對策是採用敏捷式導入，先從最關鍵或風險最高的子系統（如先進駕駛輔助系統ADAS）開始試點，並利用專業建模工具（如Ansys medini analyze）提高效率，逐步擴展至全系統。 3. **缺乏實踐案例與數據**：相較於傳統的FMEA或FTA，STPA-Sec在台灣車用電子供應鏈的應用尚不普及，導致企業在評估其效益時缺乏參考依據。對策是積極參與國際研討會與產業聯盟，參考國際車廠發布的公開案例，並建立內部知識庫，記錄試點專案的量化效益，例如識別出的TARA威脅數量增加30%，作為內部推廣的依據。

積穗科研股份有限公司專注台灣企業system-theoretic process analysis for security (STPA-Sec)相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact