隨著自動駕駛汽車的發(fā)展，在故障的情況下確保車輛安全變得越來越重要。本文提出了一種基于仿真試驗的故障注入方法(Sabotage)，以在ISO 26262的概念階段作為傳統(tǒng)安全分析方法的補充，依據(jù)試驗數(shù)據(jù)得到失效影響，并完善安全目標及安全要求。之后將該方法應用于自動駕駛汽車橫向控制系統(tǒng)的安全分析中，得到其模型中出現(xiàn)的故障的影響，基于最大橫向誤差及轉(zhuǎn)向飽和*得到故障容錯時間間隔(Fault Tolerant Time Interval,FTTI),并推導得到安全目標及安全要求。

一、 自動駕駛汽車控制架構(gòu)

本文是針對高級自動駕駛汽車(HAV)的功能安全研究。HAV架構(gòu)主要分為橫向和縱向控制。本文研究針對橫向控制系統(tǒng)，該系統(tǒng)目的是引導車輛沿著最佳路徑行駛，由三個基本的功能組成：

行為規(guī)劃：依據(jù)車輛行為(如車道保持、變道或者避障)來選擇最好的路徑。

軌跡控制：通過控制算法進行計算并保持車輛在正確的軌跡上。

轉(zhuǎn)向：控制方向盤來使車輛按規(guī)劃路徑行駛。其輸入為軌跡控制模塊計算得的校正值。

二、基于ISO 26262的SABOTAGE框架

1.框架：SABOTAGE

現(xiàn)有版本的ISO 26262的概念階段，主要通過例如FMEA等安全分析方法進行安全評估，由于自動駕駛汽車系統(tǒng)的復雜性，某一失效的影響不一定預先可知，這導致分析結(jié)果的不完整。故障注入則提供了一種評估高級自動駕駛系統(tǒng)安全性和可控性的有效的補充方法。在已知故障類型的條件下，利用故障注入可以得到系統(tǒng)運行期間發(fā)生某一故障的影響及相關(guān)故障數(shù)據(jù)。圖1展示了基于故障注入仿真的自動駕駛汽車功能安全分析方法。該方法可作為評估早期設(shè)計階段某個架構(gòu)安全性的補充手段。通過分析仿真數(shù)據(jù)，可以在數(shù)個較優(yōu)的安全概念之間加以權(quán)衡和選擇。

圖1：Sabotage：基于仿真的故障注入框架

依據(jù)該框架，本研究所提Sabotage方法的大致流程為：

第一步，識別失效模式。首先，必須已知相關(guān)項的主要功能及其故障類型。然后正確識別功能失效模式，以獲得關(guān)于其影響的數(shù)據(jù)(在系統(tǒng)/整車層級)。這意味著如果這些失效模式定義在系統(tǒng)層，其影響便體現(xiàn)在整車上。這些故障/失效模式與保存在通用故障模型庫中的通用故障模型(遺漏Omission，凍結(jié)Frozen，延遲Delay，翻轉(zhuǎn)Invert，振蕩Oscillation，隨機Random)相關(guān)聯(lián)。這些通用故障模型是預先設(shè)置的，是模擬任何組件/系統(tǒng)功能失效模式的特定故障模型。

第二步，配置故障注入試驗。在對系統(tǒng)進行初步分析后，必須配置故障注入試驗，將其作為工作負載生成器(Workload Generator)的一部分，這包括設(shè)置試驗和駕駛場景，以及生成故障列表：

目標：在何處注入故障？

故障模型：何為代表該功能失效模式的最佳故障模型？

觸發(fā)：如何在系統(tǒng)中觸發(fā)故障？

何為故障影響的觀測點？

如何定義使車輛失去其可控性的條件？

對于用戶想要注入的每個故障，必須在故障列表中明確涉及的故障模型、目標信號(故障定位)、基于時間或路徑位置坐標(X,Y)的故障觸發(fā)條件以及故障持續(xù)時間。這些信息是生成故障發(fā)生器(Saboteur)的基礎(chǔ)。故障發(fā)生器是為了故障注入而添加到系統(tǒng)行為模型中的組件。每產(chǎn)生一個目標信號，一個故障便被注入。

試驗的配置包括車輛的選擇及運行情況(Operational Situation)的定義：

地點：高速公路，城市；

道路狀況：上坡，彎道；

環(huán)境條件：良好，暴雨；

交通狀況：流暢；

車速；

行為：停車，超車，車道保持；

潛在風險參與者：司機，乘客，行人；

試驗場景由場景配置器基于先前定義的運行情況選擇場景目錄中的最佳駕駛場景，以便將其加載到Dynacar平臺中(一個實時車輛動力學仿真系統(tǒng))。

第三步，創(chuàng)建故障化被測系統(tǒng)(Faulty System Under Test)。為此，故障注入器模塊根據(jù)故障列表的信息及通用故障模型模板，創(chuàng)建故障發(fā)生器代碼。該過程可以基于庫和列表的數(shù)據(jù)自動化實現(xiàn)。

第四步，將故障化被測系統(tǒng)與無故障系統(tǒng)的模擬結(jié)果進行比較，分析故障影響，從而可以導出適當?shù)陌踩繕思鞍踩蟆?/p>

2.在ISO 26262概念階段使用Sabotage

上節(jié)所提Sabotage方法可以應用于ISO 26262的概念階段。在已知相關(guān)項功能及故障類型的前提下，通過故障注入仿真在危害分析和風險評估流程中得到某一故障產(chǎn)生的影響，并據(jù)此細化安全目標，并在功能安全概念流程中，推導得到安全要求。其具體的應用為：

1.通過故障注入而不是FMEA等安全分析方法進行危害識別。通過Dynacar虛擬環(huán)境可以直觀地看到危害(例如在應該轉(zhuǎn)彎時車輛沒有轉(zhuǎn)彎)。

2.根據(jù)仿真結(jié)果和危害識別細化安全目標。

3.FTTI和安全狀態(tài)的確定。如圖2所示，F(xiàn)TTI是從一個故障被注入到危害發(fā)生之間的時間。對于高級自動駕駛系統(tǒng)，F(xiàn)TTI決定了使車輛不會失去控制所需的容錯等級(如冗余、功能降級)。

4.比較無故障和有故障的仿真模擬結(jié)果，安全要求可由兩種仿真間的最大差異推導得到。

5.根據(jù)先前結(jié)果，將安全要求將被劃分到功能安全概念中。

圖2：故障-錯誤-失效鏈及FTTI的定義

三、橫向控制系統(tǒng)的安全評估

本節(jié)為將Sabotage應用于基于ISO 2626概念階段的對現(xiàn)有橫向控制系統(tǒng)(其為高級自動駕駛車輛車道保持功能的一部分)的安全評估的實例。由于該模型沒有適當?shù)陌踩珯C制，通過分析FI仿真結(jié)果可以解決以下問題：

根據(jù)故障注入仿真的結(jié)果，獲取特定故障在車輛和相關(guān)項層級的影響數(shù)據(jù)。

完成安全分析：確定安全目標(包括FTTI值及安全狀態(tài))、功能安全要求和安全概念。

以下為本次研究在ISO 26262概念階段各流程的分析過程及結(jié)果：

1 相關(guān)項定義

如第二章所述，本文所提方法的應用前提是在ISO 26262的相關(guān)項定義流程中明確相關(guān)項功能及其故障類型：橫向控制相關(guān)項可以分解為多個功能和子功能，其故障包括：轉(zhuǎn)向(遺漏錯誤Omission、委托錯誤Commission)，軌跡控制(遺漏或委托錯誤)，行為規(guī)劃器(不需要的局部規(guī)劃，不需要的感知, 不需要的決策)。

2危害分析和風險評估

FI仿真結(jié)果可以作為該流程在安全分析方法外的一個補充辦法，主要是依據(jù)仿真進行危害識別，并得到安全目標(以FTTI值為主)。

本次研究所做FI仿真試驗為在交通流暢的城市環(huán)境下，以45km/h的恒定速度行駛并開啟車道保持功能的車輛，當車輛在彎道上行駛時將觸發(fā)故障，再現(xiàn)與差分GPS(DGPS)和轉(zhuǎn)向系統(tǒng)相關(guān)的功能失效模式。實驗中所設(shè)置故障列表如表1所示。

*該表格僅為本次研究中故障列表的部分示例，故與表2并非一一對應

按照第二章的步驟，故障發(fā)生器基于先前建立的故障列表自動注入故障。為了使故障產(chǎn)生最嚴重影響，這些故障在幾個曲線點觸發(fā)，以得到最嚴重的影響。由于我們仿真的主要目的是計算橫向控制的FTTI值，因此被觀測信號為橫向誤差和轉(zhuǎn)向飽和。圖3描繪了轉(zhuǎn)向控制的FTTI的的計算原理。

圖3：FTTI的計算原理

使用如下公式定義的最大橫向誤差作為系統(tǒng)失控的標準：

表2描述了基于FI的仿真結(jié)果得到的危害識別信息。通過通用故障模型對不同相關(guān)項層級的失效進行建模， 以測量其在整車層級的影響和導致的危害行為。

表2：整車層失效的影響

根據(jù)表2和仿真試驗數(shù)據(jù)，可以分析得到危害分析和風險評估的部分結(jié)果，如表3所示，其中包括根據(jù)圖2和圖3計算得到的特定功能的最嚴重失效模式(表示為故障模型)的FTTI值。而故障持續(xù)時間即以一種適當?shù)姆绞教幚砉收?過渡到安全狀態(tài))的時間。例如，與軌跡控制器相關(guān)的故障可以在危害事件發(fā)生之前在系統(tǒng)中存在400ms：其中240ms以檢測和反應，160ms來控制故障，這樣可做到不違反安全目標。表3中具體的安全目標定義如表4所示。

表3：危害分析和風險評估

表4：安全目標

3 功能安全概念

在上一流程所得安全目標的基礎(chǔ)上，結(jié)合FI仿真結(jié)果推導得到功能安全要求，如表5所示。其中最大橫向誤差的計算公式如下所示：

表5：安全要求

至此，功能安全要求通過模擬數(shù)據(jù)而非傳統(tǒng)的相關(guān)失效分析(Dependent Failure Analysis, DFA)得到。其主要結(jié)論是在當前的橫向控制設(shè)計不能保證系統(tǒng)不受干擾，因此，需要重新設(shè)計其架構(gòu)以確保該屬性，即轉(zhuǎn)向系統(tǒng)應是冗余的，以達到所需的可用水平。具體而言：基于表3的數(shù)據(jù)，為了防止危險的發(fā)生，必須將與轉(zhuǎn)向功能相關(guān)的故障控制在196ms內(nèi)。車輛如果翻轉(zhuǎn)或旋轉(zhuǎn)，乘客就可能受傷，因此，轉(zhuǎn)向功能必須在70ms內(nèi)可用。關(guān)于與行為規(guī)劃相關(guān)的失效，例如由于DGPS故障導致失效，其反應時間為155ms，因此可能需要適當?shù)墓δ芙导墶Ｗ詈螅仨氄_劃分不同的功能，以避免發(fā)生級聯(lián)故障。

四、結(jié)論

以上介紹了一種基于模擬的故障注入方法，以評估自動車輛功能的安全性。并將該方法應用到嵌入自動橫向控制功能的城市車輛案例中。本文將重點放在基于最大橫向誤差和轉(zhuǎn)向飽和的永久性故障的FTTI值的確定上。本文所提方法的一個主要優(yōu)點是它可以作為安全分析方法的補充，實現(xiàn)一個ISO 26262兼容的安全評估過程。