基于系统工程理论可将船舶系统安全开发过程概括为系统概念设计及安全分析、系统安全设计与开发和系统交付及营运三个阶段，如图1所示。
检验机构可以采取类似于船舶建造检验的方式，对高度复杂的自主系统的设计和开发过程进行验证、评估和检验。
图1 系统开发V模型在概念设计阶段，基于系统工程理论，建立船舶自主航行系统架构模型，以系统安全要求为核心，将安全要求映射到系统功能架构中。
安全要求源于需求分析，通过功能架构满足，最终由测试用例进行验证。
传统的系统安全分析主要针对系统和组件本身，对其故障发生率和故障危害后果进行分析，常用的方法包括失效模式与效应分析（FMEA），FMEA是用于评估子系统、组件、部件或功能潜在失效影响，并确定可能对系统可靠性产生不利影响的工具。
最早由美国军方开发（MIL-STD-1629A），后广泛用于航天、汽车领域。
FMEA是一种自底向上的方法，主要面向硬件和过程进行应用。
与传统的危害分析不同，对于自主航行系统，在分析系统危害机理时应当在系统内部故障引发的危害基础上，增加系统内外部交互导致的功能不足危害以及完全由外部因素（网络攻击）导致的危害。
随着船舶智能系统中软件、算法的大量引入，以及系统的复杂性剧增，预测、理解和防范所有的系统潜在行为变得尤为困难。
复杂性导致重要的系统属性（如安全）与单独组件的行为关联性降低，而与组件间的交互关联性上升，导致FMEA方法不足以解决相关问题。
有观点认为，STAMP/STPA是船舶自主航行系统安全分析领域最适用且最具潜力的方法之一。
STAMP/STPA方法是基于系统理论的危险分析方法，其自上而下通过建立控制结构对系统进行建模，表征为一组反馈控制循环，获取功能关系和交互的同时识别不安全控制行为和相关场景，并且适用于发掘人为操作失误等导致的危险。
借鉴汽车自动驾驶领域的已有概念，综合上述分析，确定自主航行系统安全分析的3个方面：(1)功能安全。
主要关注由系统自身物理特性和设计缺陷引发的系统危害，一般可分为系统性故障和随机硬件故障，这类危害被统称为功能安全问题。
为解决此类安全问题，汽车领域已有较为成熟的参考标准ISO 26262。
(2)预期功能安全。
汽车自动驾驶领域首先提出的概念，它是指从系统物理原理出发，结合外部环境的扰动，分析系统内外部交互耦合条件下由于系统功能不足导致的危害。
目前已经形成了国际标准——ISO 21448《Road vehicles — Safety of the intended functionality（道路车辆——预期功能安全安全）》。
功能不足危害被统称为预期功能安全问题，主要