隨著自動駕駛汽車的發展，在故障的情況下確保車輛安全變得越來越重要。本文提出了一種基于仿真試驗的故障注入方法(Sabotage)，以在ISO 26262的概念階段作為傳統安全分析方法的補充，依據試驗數據得到失效影響，并完善安全目標及安全要求。之后將該方法應用于自動駕駛汽車橫向控制系統的安全分析中，得到其模型中出現的故障的影響，基于最大橫向誤差及轉向飽和*得到故障容錯時間間隔(Fault Tolerant Time Interval,FTTI),并推導得到安全目標及安全要求。

一、 自動駕駛汽車控制架構

本文是針對高級自動駕駛汽車(HAV)的功能安全研究。HAV架構主要分為橫向和縱向控制。本文研究針對橫向控制系統，該系統目的是引導車輛沿著最佳路徑行駛，由三個基本的功能組成：

行為規劃：依據車輛行為(如車道保持、變道或者避障)來選擇最好的路徑。

軌跡控制：通過控制算法進行計算并保持車輛在正確的軌跡上。

轉向：控制方向盤來使車輛按規劃路徑行駛。其輸入為軌跡控制模塊計算得的校正值。

二、基于ISO 26262的SABOTAGE框架

1.框架：SABOTAGE

現有版本的ISO 26262的概念階段，主要通過例如FMEA等安全分析方法進行安全評估，由于自動駕駛汽車系統的復雜性，某一失效的影響不一定預先可知，這導致分析結果的不完整。故障注入則提供了一種評估高級自動駕駛系統安全性和可控性的有效的補充方法。在已知故障類型的條件下，利用故障注入可以得到系統運行期間發生某一故障的影響及相關故障數據。圖1展示了基于故障注入仿真的自動駕駛汽車功能安全分析方法。該方法可作為評估早期設計階段某個架構安全性的補充手段。通過分析仿真數據，可以在數個較優的安全概念之間加以權衡和選擇。

圖1：Sabotage：基于仿真的故障注入框架

依據該框架，本研究所提Sabotage方法的大致流程為：

第一步，識別失效模式。首先，必須已知相關項的主要功能及其故障類型。然后正確識別功能失效模式，以獲得關于其影響的數據(在系統/整車層級)。這意味著如果這些失效模式定義在系統層，其影響便體現在整車上。這些故障/失效模式與保存在通用故障模型庫中的通用故障模型(遺漏Omission，凍結Frozen，延遲Delay，翻轉Invert，振蕩Oscillation，隨機Random)相關聯。這些通用故障模型是預先設置的，是模擬任何組件/系統功能失效模式的特定故障模型。

第二步，配置故障注入試驗。在對系統進行初步分析后，必須配置故障注入試驗，將其作為工作負載生成器(Workload Generator)的一部分，這包括設置試驗和駕駛場景，以及生成故障列表：

目標：在何處注入故障？

故障模型：何為代表該功能失效模式的最佳故障模型？

觸發：如何在系統中觸發故障？

何為故障影響的觀測點？

如何定義使車輛失去其可控性的條件？

對于用戶想要注入的每個故障，必須在故障列表中明確涉及的故障模型、目標信號(故障定位)、基于時間或路徑位置坐標(X,Y)的故障觸發條件以及故障持續時間。這些信息是生成故障發生器(Saboteur)的基礎。故障發生器是為了故障注入而添加到系統行為模型中的組件。每產生一個目標信號，一個故障便被注入。

試驗的配置包括車輛的選擇及運行情況(Operational Situation)的定義：

地點：高速公路，城市；

道路狀況：上坡，彎道；

環境條件：良好，暴雨；

交通狀況：流暢；

車速；

行為：停車，超車，車道保持；

潛在風險參與者：司機，乘客，行人；

試驗場景由場景配置器基于先前定義的運行情況選擇場景目錄中的最佳駕駛場景，以便將其加載到Dynacar平臺中(一個實時車輛動力學仿真系統)。

第三步，創建故障化被測系統(Faulty System Under Test)。為此，故障注入器模塊根據故障列表的信息及通用故障模型模板，創建故障發生器代碼。該過程可以基于庫和列表的數據自動化實現。

第四步，將故障化被測系統與無故障系統的模擬結果進行比較，分析故障影響，從而可以導出適當的安全目標及安全要求。

2.在ISO 26262概念階段使用Sabotage

上節所提Sabotage方法可以應用于ISO 26262的概念階段。在已知相關項功能及故障類型的前提下，通過故障注入仿真在危害分析和風險評估流程中得到某一故障產生的影響，并據此細化安全目標，并在功能安全概念流程中，推導得到安全要求。其具體的應用為：

1.通過故障注入而不是FMEA等安全分析方法進行危害識別。通過Dynacar虛擬環境可以直觀地看到危害(例如在應該轉彎時車輛沒有轉彎)。

2.根據仿真結果和危害識別細化安全目標。

3.FTTI和安全狀態的確定。如圖2所示，FTTI是從一個故障被注入到危害發生之間的時間。對于高級自動駕駛系統，FTTI決定了使車輛不會失去控制所需的容錯等級(如冗余、功能降級)。

4.比較無故障和有故障的仿真模擬結果，安全要求可由兩種仿真間的最大差異推導得到。

5.根據先前結果，將安全要求將被劃分到功能安全概念中。

圖2：故障-錯誤-失效鏈及FTTI的定義

三、橫向控制系統的安全評估

本節為將Sabotage應用于基于ISO 2626概念階段的對現有橫向控制系統(其為高級自動駕駛車輛車道保持功能的一部分)的安全評估的實例。由于該模型沒有適當的安全機制，通過分析FI仿真結果可以解決以下問題：

根據故障注入仿真的結果，獲取特定故障在車輛和相關項層級的影響數據。

完成安全分析：確定安全目標(包括FTTI值及安全狀態)、功能安全要求和安全概念。

以下為本次研究在ISO 26262概念階段各流程的分析過程及結果：

1 相關項定義

如第二章所述，本文所提方法的應用前提是在ISO 26262的相關項定義流程中明確相關項功能及其故障類型：橫向控制相關項可以分解為多個功能和子功能，其故障包括：轉向(遺漏錯誤Omission、委托錯誤Commission)，軌跡控制(遺漏或委托錯誤)，行為規劃器(不需要的局部規劃，不需要的感知, 不需要的決策)。

2危害分析和風險評估

FI仿真結果可以作為該流程在安全分析方法外的一個補充辦法，主要是依據仿真進行危害識別，并得到安全目標(以FTTI值為主)。

本次研究所做FI仿真試驗為在交通流暢的城市環境下，以45km/h的恒定速度行駛并開啟車道保持功能的車輛，當車輛在彎道上行駛時將觸發故障，再現與差分GPS(DGPS)和轉向系統相關的功能失效模式。實驗中所設置故障列表如表1所示。

*該表格僅為本次研究中故障列表的部分示例，故與表2并非一一對應

按照第二章的步驟，故障發生器基于先前建立的故障列表自動注入故障。為了使故障產生最嚴重影響，這些故障在幾個曲線點觸發，以得到最嚴重的影響。由于我們仿真的主要目的是計算橫向控制的FTTI值，因此被觀測信號為橫向誤差和轉向飽和。圖3描繪了轉向控制的FTTI的的計算原理。

圖3：FTTI的計算原理

使用如下公式定義的最大橫向誤差作為系統失控的標準：

表2描述了基于FI的仿真結果得到的危害識別信息。通過通用故障模型對不同相關項層級的失效進行建模， 以測量其在整車層級的影響和導致的危害行為。

表2：整車層失效的影響

根據表2和仿真試驗數據，可以分析得到危害分析和風險評估的部分結果，如表3所示，其中包括根據圖2和圖3計算得到的特定功能的最嚴重失效模式(表示為故障模型)的FTTI值。而故障持續時間即以一種適當的方式處理故障(過渡到安全狀態)的時間。例如，與軌跡控制器相關的故障可以在危害事件發生之前在系統中存在400ms：其中240ms以檢測和反應，160ms來控制故障，這樣可做到不違反安全目標。表3中具體的安全目標定義如表4所示。

表3：危害分析和風險評估

表4：安全目標

3 功能安全概念

在上一流程所得安全目標的基礎上，結合FI仿真結果推導得到功能安全要求，如表5所示。其中最大橫向誤差的計算公式如下所示：

表5：安全要求

至此，功能安全要求通過模擬數據而非傳統的相關失效分析(Dependent Failure Analysis, DFA)得到。其主要結論是在當前的橫向控制設計不能保證系統不受干擾，因此，需要重新設計其架構以確保該屬性，即轉向系統應是冗余的，以達到所需的可用水平。具體而言：基于表3的數據，為了防止危險的發生，必須將與轉向功能相關的故障控制在196ms內。車輛如果翻轉或旋轉，乘客就可能受傷，因此，轉向功能必須在70ms內可用。關于與行為規劃相關的失效，例如由于DGPS故障導致失效，其反應時間為155ms，因此可能需要適當的功能降級。最后，必須正確劃分不同的功能，以避免發生級聯故障。

四、結論

以上介紹了一種基于模擬的故障注入方法，以評估自動車輛功能的安全性。并將該方法應用到嵌入自動橫向控制功能的城市車輛案例中。本文將重點放在基于最大橫向誤差和轉向飽和的永久性故障的FTTI值的確定上。本文所提方法的一個主要優點是它可以作為安全分析方法的補充，實現一個ISO 26262兼容的安全評估過程。