隨著自動(dòng)駕駛汽車的發(fā)展，在故障的情況下確保車輛安全變得越來越重要。本文提出了一種基于仿真試驗(yàn)的故障注入方法(Sabotage)，以在ISO 26262的概念階段作為傳統(tǒng)安全分析方法的補(bǔ)充，依據(jù)試驗(yàn)數(shù)據(jù)得到失效影響，并完善安全目標(biāo)及安全要求。之后將該方法應(yīng)用于自動(dòng)駕駛汽車橫向控制系統(tǒng)的安全分析中，得到其模型中出現(xiàn)的故障的影響，基于最大橫向誤差及轉(zhuǎn)向飽和*得到故障容錯(cuò)時(shí)間間隔(Fault Tolerant Time Interval,FTTI),并推導(dǎo)得到安全目標(biāo)及安全要求。

一、 自動(dòng)駕駛汽車控制架構(gòu)

本文是針對(duì)高級(jí)自動(dòng)駕駛汽車(HAV)的功能安全研究。HAV架構(gòu)主要分為橫向和縱向控制。本文研究針對(duì)橫向控制系統(tǒng)，該系統(tǒng)目的是引導(dǎo)車輛沿著最佳路徑行駛，由三個(gè)基本的功能組成：

行為規(guī)劃：依據(jù)車輛行為(如車道保持、變道或者避障)來選擇最好的路徑。

軌跡控制：通過控制算法進(jìn)行計(jì)算并保持車輛在正確的軌跡上。

轉(zhuǎn)向：控制方向盤來使車輛按規(guī)劃路徑行駛。其輸入為軌跡控制模塊計(jì)算得的校正值。

二、基于ISO 26262的SABOTAGE框架

1.框架：SABOTAGE

現(xiàn)有版本的ISO 26262的概念階段，主要通過例如FMEA等安全分析方法進(jìn)行安全評(píng)估，由于自動(dòng)駕駛汽車系統(tǒng)的復(fù)雜性，某一失效的影響不一定預(yù)先可知，這導(dǎo)致分析結(jié)果的不完整。故障注入則提供了一種評(píng)估高級(jí)自動(dòng)駕駛系統(tǒng)安全性和可控性的有效的補(bǔ)充方法。在已知故障類型的條件下，利用故障注入可以得到系統(tǒng)運(yùn)行期間發(fā)生某一故障的影響及相關(guān)故障數(shù)據(jù)。圖1展示了基于故障注入仿真的自動(dòng)駕駛汽車功能安全分析方法。該方法可作為評(píng)估早期設(shè)計(jì)階段某個(gè)架構(gòu)安全性的補(bǔ)充手段。通過分析仿真數(shù)據(jù)，可以在數(shù)個(gè)較優(yōu)的安全概念之間加以權(quán)衡和選擇。

圖1：Sabotage：基于仿真的故障注入框架

依據(jù)該框架，本研究所提Sabotage方法的大致流程為：

第一步，識(shí)別失效模式。首先，必須已知相關(guān)項(xiàng)的主要功能及其故障類型。然后正確識(shí)別功能失效模式，以獲得關(guān)于其影響的數(shù)據(jù)(在系統(tǒng)/整車層級(jí))。這意味著如果這些失效模式定義在系統(tǒng)層，其影響便體現(xiàn)在整車上。這些故障/失效模式與保存在通用故障模型庫中的通用故障模型(遺漏Omission，凍結(jié)Frozen，延遲Delay，翻轉(zhuǎn)Invert，振蕩Oscillation，隨機(jī)Random)相關(guān)聯(lián)。這些通用故障模型是預(yù)先設(shè)置的，是模擬任何組件/系統(tǒng)功能失效模式的特定故障模型。

第二步，配置故障注入試驗(yàn)。在對(duì)系統(tǒng)進(jìn)行初步分析后，必須配置故障注入試驗(yàn)，將其作為工作負(fù)載生成器(Workload Generator)的一部分，這包括設(shè)置試驗(yàn)和駕駛場景，以及生成故障列表：

目標(biāo)：在何處注入故障？

故障模型：何為代表該功能失效模式的最佳故障模型？

觸發(fā)：如何在系統(tǒng)中觸發(fā)故障？

何為故障影響的觀測點(diǎn)？

如何定義使車輛失去其可控性的條件？

對(duì)于用戶想要注入的每個(gè)故障，必須在故障列表中明確涉及的故障模型、目標(biāo)信號(hào)(故障定位)、基于時(shí)間或路徑位置坐標(biāo)(X,Y)的故障觸發(fā)條件以及故障持續(xù)時(shí)間。這些信息是生成故障發(fā)生器(Saboteur)的基礎(chǔ)。故障發(fā)生器是為了故障注入而添加到系統(tǒng)行為模型中的組件。每產(chǎn)生一個(gè)目標(biāo)信號(hào)，一個(gè)故障便被注入。

試驗(yàn)的配置包括車輛的選擇及運(yùn)行情況(Operational Situation)的定義：

地點(diǎn)：高速公路，城市；

道路狀況：上坡，彎道；

環(huán)境條件：良好，暴雨；

交通狀況：流暢；

車速；

行為：停車，超車，車道保持；

潛在風(fēng)險(xiǎn)參與者：司機(jī)，乘客，行人；

試驗(yàn)場景由場景配置器基于先前定義的運(yùn)行情況選擇場景目錄中的最佳駕駛場景，以便將其加載到Dynacar平臺(tái)中(一個(gè)實(shí)時(shí)車輛動(dòng)力學(xué)仿真系統(tǒng))。

第三步，創(chuàng)建故障化被測系統(tǒng)(Faulty System Under Test)。為此，故障注入器模塊根據(jù)故障列表的信息及通用故障模型模板，創(chuàng)建故障發(fā)生器代碼。該過程可以基于庫和列表的數(shù)據(jù)自動(dòng)化實(shí)現(xiàn)。

第四步，將故障化被測系統(tǒng)與無故障系統(tǒng)的模擬結(jié)果進(jìn)行比較，分析故障影響，從而可以導(dǎo)出適當(dāng)?shù)陌踩繕?biāo)及安全要求。

2.在ISO 26262概念階段使用Sabotage

上節(jié)所提Sabotage方法可以應(yīng)用于ISO 26262的概念階段。在已知相關(guān)項(xiàng)功能及故障類型的前提下，通過故障注入仿真在危害分析和風(fēng)險(xiǎn)評(píng)估流程中得到某一故障產(chǎn)生的影響，并據(jù)此細(xì)化安全目標(biāo)，并在功能安全概念流程中，推導(dǎo)得到安全要求。其具體的應(yīng)用為：

1.通過故障注入而不是FMEA等安全分析方法進(jìn)行危害識(shí)別。通過Dynacar虛擬環(huán)境可以直觀地看到危害(例如在應(yīng)該轉(zhuǎn)彎時(shí)車輛沒有轉(zhuǎn)彎)。

2.根據(jù)仿真結(jié)果和危害識(shí)別細(xì)化安全目標(biāo)。

3.FTTI和安全狀態(tài)的確定。如圖2所示，F(xiàn)TTI是從一個(gè)故障被注入到危害發(fā)生之間的時(shí)間。對(duì)于高級(jí)自動(dòng)駕駛系統(tǒng)，F(xiàn)TTI決定了使車輛不會(huì)失去控制所需的容錯(cuò)等級(jí)(如冗余、功能降級(jí))。

4.比較無故障和有故障的仿真模擬結(jié)果，安全要求可由兩種仿真間的最大差異推導(dǎo)得到。

5.根據(jù)先前結(jié)果，將安全要求將被劃分到功能安全概念中。

圖2：故障-錯(cuò)誤-失效鏈及FTTI的定義

三、橫向控制系統(tǒng)的安全評(píng)估

本節(jié)為將Sabotage應(yīng)用于基于ISO 2626概念階段的對(duì)現(xiàn)有橫向控制系統(tǒng)(其為高級(jí)自動(dòng)駕駛車輛車道保持功能的一部分)的安全評(píng)估的實(shí)例。由于該模型沒有適當(dāng)?shù)陌踩珯C(jī)制，通過分析FI仿真結(jié)果可以解決以下問題：

根據(jù)故障注入仿真的結(jié)果，獲取特定故障在車輛和相關(guān)項(xiàng)層級(jí)的影響數(shù)據(jù)。

完成安全分析：確定安全目標(biāo)(包括FTTI值及安全狀態(tài))、功能安全要求和安全概念。

以下為本次研究在ISO 26262概念階段各流程的分析過程及結(jié)果：

1 相關(guān)項(xiàng)定義

如第二章所述，本文所提方法的應(yīng)用前提是在ISO 26262的相關(guān)項(xiàng)定義流程中明確相關(guān)項(xiàng)功能及其故障類型：橫向控制相關(guān)項(xiàng)可以分解為多個(gè)功能和子功能，其故障包括：轉(zhuǎn)向(遺漏錯(cuò)誤Omission、委托錯(cuò)誤Commission)，軌跡控制(遺漏或委托錯(cuò)誤)，行為規(guī)劃器(不需要的局部規(guī)劃，不需要的感知, 不需要的決策)。

2危害分析和風(fēng)險(xiǎn)評(píng)估

FI仿真結(jié)果可以作為該流程在安全分析方法外的一個(gè)補(bǔ)充辦法，主要是依據(jù)仿真進(jìn)行危害識(shí)別，并得到安全目標(biāo)(以FTTI值為主)。

本次研究所做FI仿真試驗(yàn)為在交通流暢的城市環(huán)境下，以45km/h的恒定速度行駛并開啟車道保持功能的車輛，當(dāng)車輛在彎道上行駛時(shí)將觸發(fā)故障，再現(xiàn)與差分GPS(DGPS)和轉(zhuǎn)向系統(tǒng)相關(guān)的功能失效模式。實(shí)驗(yàn)中所設(shè)置故障列表如表1所示。

*該表格僅為本次研究中故障列表的部分示例，故與表2并非一一對(duì)應(yīng)

按照第二章的步驟，故障發(fā)生器基于先前建立的故障列表自動(dòng)注入故障。為了使故障產(chǎn)生最嚴(yán)重影響，這些故障在幾個(gè)曲線點(diǎn)觸發(fā)，以得到最嚴(yán)重的影響。由于我們仿真的主要目的是計(jì)算橫向控制的FTTI值，因此被觀測信號(hào)為橫向誤差和轉(zhuǎn)向飽和。圖3描繪了轉(zhuǎn)向控制的FTTI的的計(jì)算原理。

圖3：FTTI的計(jì)算原理

使用如下公式定義的最大橫向誤差作為系統(tǒng)失控的標(biāo)準(zhǔn)：

表2描述了基于FI的仿真結(jié)果得到的危害識(shí)別信息。通過通用故障模型對(duì)不同相關(guān)項(xiàng)層級(jí)的失效進(jìn)行建模， 以測量其在整車層級(jí)的影響和導(dǎo)致的危害行為。

表2：整車層失效的影響

根據(jù)表2和仿真試驗(yàn)數(shù)據(jù)，可以分析得到危害分析和風(fēng)險(xiǎn)評(píng)估的部分結(jié)果，如表3所示，其中包括根據(jù)圖2和圖3計(jì)算得到的特定功能的最嚴(yán)重失效模式(表示為故障模型)的FTTI值。而故障持續(xù)時(shí)間即以一種適當(dāng)?shù)姆绞教幚砉收?過渡到安全狀態(tài))的時(shí)間。例如，與軌跡控制器相關(guān)的故障可以在危害事件發(fā)生之前在系統(tǒng)中存在400ms：其中240ms以檢測和反應(yīng)，160ms來控制故障，這樣可做到不違反安全目標(biāo)。表3中具體的安全目標(biāo)定義如表4所示。

表3：危害分析和風(fēng)險(xiǎn)評(píng)估

表4：安全目標(biāo)

3 功能安全概念

在上一流程所得安全目標(biāo)的基礎(chǔ)上，結(jié)合FI仿真結(jié)果推導(dǎo)得到功能安全要求，如表5所示。其中最大橫向誤差的計(jì)算公式如下所示：

表5：安全要求

至此，功能安全要求通過模擬數(shù)據(jù)而非傳統(tǒng)的相關(guān)失效分析(Dependent Failure Analysis, DFA)得到。其主要結(jié)論是在當(dāng)前的橫向控制設(shè)計(jì)不能保證系統(tǒng)不受干擾，因此，需要重新設(shè)計(jì)其架構(gòu)以確保該屬性，即轉(zhuǎn)向系統(tǒng)應(yīng)是冗余的，以達(dá)到所需的可用水平。具體而言：基于表3的數(shù)據(jù)，為了防止危險(xiǎn)的發(fā)生，必須將與轉(zhuǎn)向功能相關(guān)的故障控制在196ms內(nèi)。車輛如果翻轉(zhuǎn)或旋轉(zhuǎn)，乘客就可能受傷，因此，轉(zhuǎn)向功能必須在70ms內(nèi)可用。關(guān)于與行為規(guī)劃相關(guān)的失效，例如由于DGPS故障導(dǎo)致失效，其反應(yīng)時(shí)間為155ms，因此可能需要適當(dāng)?shù)墓δ芙导?jí)。最后，必須正確劃分不同的功能，以避免發(fā)生級(jí)聯(lián)故障。

四、結(jié)論

以上介紹了一種基于模擬的故障注入方法，以評(píng)估自動(dòng)車輛功能的安全性。并將該方法應(yīng)用到嵌入自動(dòng)橫向控制功能的城市車輛案例中。本文將重點(diǎn)放在基于最大橫向誤差和轉(zhuǎn)向飽和的永久性故障的FTTI值的確定上。本文所提方法的一個(gè)主要優(yōu)點(diǎn)是它可以作為安全分析方法的補(bǔ)充，實(shí)現(xiàn)一個(gè)ISO 26262兼容的安全評(píng)估過程。