图1  系统开发V模型

基于系统工程理论可将船舶系统安全开发过程概括为系统概念设计及安全分析、系统安全设计与开发和系统交付及营运三个阶段，如图1所示。检验机构可以采取类似于船舶建造检验的方式，对高度复杂的自主系统的设计和开发过程进行验证、评估和检验。

在概念设计阶段，基于系统工程理论，建立船舶自主航行系统架构模型，以系统安全要求为核心，将安全要求映射到系统功能架构中。安全要求源于需求分析，通过功能架构满足，最终由测试用例进行验证。

传统的系统安全分析主要针对系统和组件本身，对其故障发生率和故障危害后果进行分析，常用的方法包括失效模式与效应分析（FMEA），FMEA是用于评估子系统、组件、部件或功能潜在失效影响，并确定可能对系统可靠性产生不利影响的工具。最早由美国军方开发（MIL-STD-1629A），后广泛用于航天、汽车领域。FMEA是一种自底向上的方法，主要面向硬件和过程进行应用。

与传统的危害分析不同，对于自主航行系统，在分析系统危害机理时应当在系统内部故障引发的危害基础上，增加系统内外部交互导致的功能不足危害以及完全由外部因素（网络攻击）导致的危害。随着船舶智能系统中软件、算法的大量引入，以及系统的复杂性剧增，预测、理解和防范所有的系统潜在行为变得尤为困难。复杂性导致重要的系统属性（如安全）与单独组件的行为关联性降低，而与组件间的交互关联性上升，导致FMEA方法不足以解决相关问题。有观点认为，STAMP/STPA是船舶自主航行系统安全分析领域最适用且最具潜力的方法之一。STAMP/STPA方法是基于系统理论的危险分析方法，其自上而下通过建立控制结构对系统进行建模，表征为一组反馈控制循环，获取功能关系和交互的同时识别不安全控制行为和相关场景，并且适用于发掘人为操作失误等导致的危险。

借鉴汽车自动驾驶领域的已有概念，综合上述分析，确定自主航行系统安全分析的3个方面：

(1)功能安全。主要关注由系统自身物理特性和设计缺陷引发的系统危害，一般可分为系统性故障和随机硬件故障，这类危害被统称为功能安全问题。为解决此类安全问题，汽车领域已有较为成熟的参考标准ISO 26262。

(2)预期功能安全。汽车自动驾驶领域首先提出的概念，它是指从系统物理原理出发，结合外部环境的扰动，分析系统内外部交互耦合条件下由于系统功能不足导致的危害。目前已经形成了国际标准——ISO 21448《Road vehicles — Safety of the intended functionality（道路车辆——预期功能安全安全）》。功能不足危害被统称为预期功能安全问题，主要来源于两方面：一是由于系统复杂性、专家经验不完备导致系统设计过程不规范，无法满足安全目标。二是由于系统组件的性能局限，例如感知、决策和控制设备功能实现不符合预期、具有局限性、易受环境干扰，算法泛化能力差、可解释性差、专家规则库覆盖度不足等因素。例如，某自主航行船舶XX轮，由于硬件条件性能受限，当外部降雨量大时雷达、视觉传感器均无法有效识别危险目标，如继续运行则安全风险大大增加，这种安全风险并非由系统或设备的故障所导致。

功能安全是假定系统及功能的规格书（Specification）完全正确，验证产品实现是否遵循了规定的流程和标准；而预期功能安全针对规格书不足以及性能不足引发的安全问题，两者相互补充。

(3)网络安全。远程控制船舶的感知数据、控制指令等信息交互面临数据传输挑战和网络安全威胁。海上信息传输的不稳定性可能导致岸基控制人员无法获取准确的船端态势信息，以及船端无法及时获取岸基的控制指令。自主航行船舶可能遭受的网络安全威胁包括机密性攻击、完整性攻击、可用性攻击、可认证性攻击、位置敏感信息攻击等。自动驾驶领域也有相关标准可供参考——ISO 21434《Road vehicle——Cybersecurity engineering（道路车辆——网络安全工程）》。目前，海事领域网络安全已有国际船级社协会（IACS）统一要求UR E26/27。网络安全在本文中不做重点论述。