本文譯自《2017 IEEE International Conference on Vehicular Electronics and Safety (ICVES) 》

所收錄文章《Safety Assessment of Automated Vehicle Functions by Simulation-based Fault Injection 》

原作者：Garazi Juez , Estibaliz Amparan 

編者按：在依據(jù)現(xiàn)有版本 ISO 26262 進(jìn)行汽車(chē)功能安全概念階段分析時(shí)，多采用例如 FMEA（失效模式與影響分析）、FTA（故障樹(shù)分析法）、DFA（相關(guān)失效分析）等理論方法來(lái)分析失效影響，并據(jù)此推導(dǎo)得到安全目標(biāo)及安全要求。但在面對(duì)自動(dòng)駕駛汽車(chē)這一復(fù)雜系統(tǒng)時(shí)，一個(gè)失效的影響并不一定是事先可知的。

針對(duì)這一問(wèn)題，在已知故障類(lèi)型的前提下，本文作者引入故障注入（Fault Inject，F(xiàn)I）仿真試驗(yàn)作為上述安全分析方法的補(bǔ)充，依據(jù)試驗(yàn)數(shù)據(jù)完善失效影響，安全目標(biāo)及安全要求。

隨著自動(dòng)駕駛汽車(chē)的發(fā)展，在故障的情況下確保車(chē)輛安全變得越來(lái)越重要。本文提出了一種基于仿真試驗(yàn)的故障注入方法（Sabotage），以在 ISO 26262 的概念階段作為傳統(tǒng)安全分析方法的補(bǔ)充，依據(jù)試驗(yàn)數(shù)據(jù)得到失效影響，并完善安全目標(biāo)及安全要求。

之后，將該方法應(yīng)用于自動(dòng)駕駛汽車(chē)橫向控制系統(tǒng)的安全分析中，得到其模型中出現(xiàn)的故障的影響，基于最大橫向誤差及「轉(zhuǎn)向飽和」得到故障容錯(cuò)時(shí)間間隔（Fault Tolerant Time Interval，F(xiàn)TTI），并推導(dǎo)得到安全目標(biāo)及安全要求。

*「轉(zhuǎn)向飽和」：指轉(zhuǎn)向控制量達(dá)到飽和后，無(wú)法繼續(xù)轉(zhuǎn)動(dòng)。

一、 自動(dòng)駕駛汽車(chē)控制架構(gòu)

本文是針對(duì)高級(jí)自動(dòng)駕駛汽車(chē)（HAV）的功能安全研究。HAV 架構(gòu)主要分為橫向和縱向控制。本文研究針對(duì)橫向控制系統(tǒng)，該系統(tǒng)目的是引導(dǎo)車(chē)輛沿著最佳路徑行駛，由三個(gè)基本的功能組成：

• 行為規(guī)劃：依據(jù)車(chē)輛行為（如車(chē)道保持、變道或者避障）來(lái)選擇最好的路徑；

• 軌跡控制：通過(guò)控制算法進(jìn)行計(jì)算并保持車(chē)輛在正確的軌跡上；

• 轉(zhuǎn)向：控制方向盤(pán)來(lái)使車(chē)輛按規(guī)劃路徑行駛，其輸入為軌跡控制模塊計(jì)算得的校正值。

二、基于 ISO 26262 的 SABOTAGE 框架

現(xiàn)有版本的 ISO 26262 的概念階段，主要通過(guò)例如 FMEA 等安全分析方法進(jìn)行安全評(píng)估，由于自動(dòng)駕駛汽車(chē)系統(tǒng)的復(fù)雜性，某一失效的影響不一定預(yù)先可知，這導(dǎo)致分析結(jié)果的不完整。

故障注入則提供了一種評(píng)估高級(jí)自動(dòng)駕駛系統(tǒng)安全性和可控性的有效的補(bǔ)充方法。在已知故障類(lèi)型的條件下，利用故障注入可以得到系統(tǒng)運(yùn)行期間發(fā)生某一故障的影響及相關(guān)故障數(shù)據(jù)。

圖 1：Sabotage：基于仿真的故障注入框架

圖 1 展示了基于故障注入仿真的自動(dòng)駕駛汽車(chē)功能安全分析方法，該方法可作為評(píng)估早期設(shè)計(jì)階段某個(gè)架構(gòu)安全性的補(bǔ)充手段。通過(guò)分析仿真數(shù)據(jù)，可以在數(shù)個(gè)較優(yōu)的安全概念之間加以權(quán)衡和選擇。

依據(jù)該框架，本研究所提 Sabotage 方法的大致流程為：

第一步，識(shí)別失效模式。首先，必須已知相關(guān)項(xiàng)的主要功能及其故障類(lèi)型。然后正確識(shí)別功能失效模式，以獲得關(guān)于其影響的數(shù)據(jù)（在系統(tǒng)/整車(chē)層級(jí)）。這意味著如果這些失效模式定義在系統(tǒng)層，其影響便體現(xiàn)在整車(chē)上。這些故障/失效模式與保存在通用故障模型庫(kù)中的通用故障模型（遺漏 Omission，凍結(jié) Frozen，延遲 Delay ，翻轉(zhuǎn) Invert，振蕩 Oscillation，隨機(jī) Random）相關(guān)聯(lián)。這些通用故障模型是預(yù)先設(shè)置的，是模擬任何組件/系統(tǒng)功能失效模式的特定故障模型。

第二步，配置故障注入試驗(yàn)。在對(duì)系統(tǒng)進(jìn)行初步分析后，必須配置故障注入試驗(yàn)，將其作為工作負(fù)載生成器（Workload Generator）的一部分，這包括設(shè)置試驗(yàn)和駕駛場(chǎng)景，以及生成故障列表：

• 目標(biāo)：在何處注入故障？

• 故障模型：何為代表該功能失效模式的最佳故障模型？

• 觸發(fā)：如何在系統(tǒng)中觸發(fā)故障？

• 何為故障影響的觀測(cè)點(diǎn)？

• 如何定義使車(chē)輛失去其可控性的條件？

對(duì)于用戶想要注入的每個(gè)故障，必須在故障列表中明確涉及的故障模型、目標(biāo)信號(hào)（故障定位）、基于時(shí)間或路徑位置坐標(biāo)（X，Y）的故障觸發(fā)條件以及故障持續(xù)時(shí)間。這些信息是生成故障發(fā)生器（Saboteur）的基礎(chǔ)。故障發(fā)生器是為了故障注入而添加到系統(tǒng)行為模型中的組件。每產(chǎn)生一個(gè)目標(biāo)信號(hào)，一個(gè)故障便被注入。

試驗(yàn)的配置包括車(chē)輛的選擇及運(yùn)行情況（Operational Situation）的定義：

• 地點(diǎn)：高速公路，城市；

• 道路狀況：上坡，彎道；

• 環(huán)境條件：良好，暴雨；

• 交通狀況：流暢；

• 車(chē)速；

• 行為：停車(chē)，超車(chē)，車(chē)道保持；

• 潛在風(fēng)險(xiǎn)參與者：司機(jī)，乘客，行人；

試驗(yàn)場(chǎng)景由場(chǎng)景配置器基于先前定義的運(yùn)行情況選擇場(chǎng)景目錄中的最佳駕駛場(chǎng)景，以便將其加載到 Dynacar 平臺(tái)中（一個(gè)實(shí)時(shí)車(chē)輛動(dòng)力學(xué)仿真系統(tǒng)）。

第三步，創(chuàng)建故障化被測(cè)系統(tǒng)（Faulty System Under Test）。為此，故障注入器模塊根據(jù)故障列表的信息及通用故障模型模板，創(chuàng)建故障發(fā)生器代碼。該過(guò)程可以基于庫(kù)和列表的數(shù)據(jù)自動(dòng)化實(shí)現(xiàn)。

第四步，將故障化被測(cè)系統(tǒng)與無(wú)故障系統(tǒng)的模擬結(jié)果進(jìn)行比較，分析故障影響，從而可以導(dǎo)出適當(dāng)?shù)陌踩繕?biāo)及安全要求。

上節(jié)所提 Sabotage 方法可以應(yīng)用于 ISO 26262 的概念階段。在已知相關(guān)項(xiàng)功能及故障類(lèi)型的前提下，通過(guò)故障注入仿真在危害分析和風(fēng)險(xiǎn)評(píng)估流程中得到某一故障產(chǎn)生的影響，并據(jù)此細(xì)化安全目標(biāo)，并在功能安全概念流程中，推導(dǎo)得到安全要求。其具體的應(yīng)用為：

• 通過(guò)故障注入而不是 FMEA 等安全分析方法進(jìn)行危害識(shí)別。通過(guò) Dynacar 虛擬環(huán)境可以直觀地看到危害（例如在應(yīng)該轉(zhuǎn)彎時(shí)車(chē)輛沒(méi)有轉(zhuǎn)彎）。

• 根據(jù)仿真結(jié)果和危害識(shí)別細(xì)化安全目標(biāo)。

• FTTI 和安全狀態(tài)的確定。如圖 2 所示，F(xiàn)TTI 是從一個(gè)故障被注入到危害發(fā)生之間的時(shí)間。對(duì)于高級(jí)自動(dòng)駕駛系統(tǒng)，F(xiàn)TTI 決定了使車(chē)輛不會(huì)失去控制所需的容錯(cuò)等級(jí)（如冗余、功能降級(jí)）。

• 比較無(wú)故障和有故障的仿真模擬結(jié)果，安全要求可由兩種仿真間的最大差異推導(dǎo)得到。

• 根據(jù)先前結(jié)果，將安全要求將被劃分到功能安全概念中。

 圖 2：故障-錯(cuò)誤-失效鏈及 FTTI 的定義

三、橫向控制系統(tǒng)的安全評(píng)估

本節(jié)為將 Sabotage 應(yīng)用于基于 ISO 2626 概念階段的對(duì)現(xiàn)有橫向控制系統(tǒng)（其為高級(jí)自動(dòng)駕駛車(chē)輛車(chē)道保持功能的一部分）的安全評(píng)估的實(shí)例。由于該模型沒(méi)有適當(dāng)?shù)陌踩珯C(jī)制，通過(guò)分析 FI 仿真結(jié)果可以解決以下問(wèn)題：

• 根據(jù)故障注入仿真的結(jié)果，獲取特定故障在車(chē)輛和相關(guān)項(xiàng)層級(jí)的影響數(shù)據(jù)。

• 完成安全分析：確定安全目標(biāo)（包括 FTTI 值及安全狀態(tài)）、功能安全要求和安全概念。

以下為本次研究在 ISO 26262 概念階段各流程的分析過(guò)程及結(jié)果：

如第二章所述，本文所提方法的應(yīng)用前提是在 ISO 26262 的相關(guān)項(xiàng)定義流程中明確相關(guān)項(xiàng)功能及其故障類(lèi)型：橫向控制相關(guān)項(xiàng)可以分解為多個(gè)功能和子功能，其故障包括：轉(zhuǎn)向（遺漏錯(cuò)誤Omission、委托錯(cuò)誤 Commission），軌跡控制（遺漏或委托錯(cuò)誤），行為規(guī)劃器（不需要的局部規(guī)劃，不需要的感知, 不需要的決策）。

FI 仿真結(jié)果可以作為該流程在安全分析方法外的一個(gè)補(bǔ)充辦法，主要是依據(jù)仿真進(jìn)行危害識(shí)別，并得到安全目標(biāo)（以 FTTI 值為主）。

本次研究所做 FI 仿真試驗(yàn)為在交通流暢的城市環(huán)境下，以 45km/h 的恒定速度行駛并開(kāi)啟車(chē)道保持功能的車(chē)輛，當(dāng)車(chē)輛在彎道上行駛時(shí)將觸發(fā)故障，再現(xiàn)與差分 GPS（DGPS）和轉(zhuǎn)向系統(tǒng)相關(guān)的功能失效模式。實(shí)驗(yàn)中所設(shè)置故障列表如表 1 所示。

表 1：故障列表示例

該表格僅為本次研究中故障列表的部分示例，故與表 2 并非一一對(duì)應(yīng)

按照第二章的步驟，故障發(fā)生器基于先前建立的故障列表自動(dòng)注入故障。為了使故障產(chǎn)生最嚴(yán)重影響，這些故障在幾個(gè)曲線點(diǎn)觸發(fā)，以得到最嚴(yán)重的影響。由于我們仿真的主要目的是計(jì)算橫向控制的 FTTI 值，因此被觀測(cè)信號(hào)為橫向誤差和轉(zhuǎn)向飽和。圖 3 描繪了轉(zhuǎn)向控制的 FTTI 的的計(jì)算原理。

圖 3：FTTI 的計(jì)算原理

使用如下公式定義的最大橫向誤差作為系統(tǒng)失控的標(biāo)準(zhǔn)： 

表 2 描述了基于 FI 的仿真結(jié)果得到的危害識(shí)別信息。通過(guò)通用故障模型對(duì)不同相關(guān)項(xiàng)層級(jí)的失效進(jìn)行建模， 以測(cè)量其在整車(chē)層級(jí)的影響和導(dǎo)致的危害行為。

表 2：整車(chē)層失效的影響

根據(jù)表 2 和仿真試驗(yàn)數(shù)據(jù)，可以分析得到危害分析和風(fēng)險(xiǎn)評(píng)估的部分結(jié)果，如表 3 所示，其中包括根據(jù)圖 2 和圖 3 計(jì)算得到的特定功能的最嚴(yán)重失效模式（表示為故障模型）的 FTTI 值。而故障持續(xù)時(shí)間即以一種適當(dāng)?shù)姆绞教幚砉收希?span>過(guò)渡到安全狀態(tài)）的時(shí)間。例如，與軌跡控制器相關(guān)的故障可以在危害事件發(fā)生之前在系統(tǒng)中存在 400ms：其中 240ms 以檢測(cè)和反應(yīng)，160ms 來(lái)控制故障，這樣可做到不違反安全目標(biāo)。表 3 中具體的安全目標(biāo)定義如表 4 所示。

表 3：危害分析和風(fēng)險(xiǎn)評(píng)估

表 4：安全目標(biāo)

在上一流程所得安全目標(biāo)的基礎(chǔ)上，結(jié)合 FI 仿真結(jié)果推導(dǎo)得到功能安全要求，如表 5所示。其中最大橫向誤差的計(jì)算公式如下所示：

表 5：安全要求

至此，功能安全要求通過(guò)模擬數(shù)據(jù)而非傳統(tǒng)的相關(guān)失效分析（Dependent Failure Analysis，DFA）得到。其主要結(jié)論是在當(dāng)前的橫向控制設(shè)計(jì)不能保證系統(tǒng)不受干擾，因此，需要重新設(shè)計(jì)其架構(gòu)以確保該屬性，即轉(zhuǎn)向系統(tǒng)應(yīng)是冗余的，以達(dá)到所需的可用水平。具體而言：基于表 3 的數(shù)據(jù)，為了防止危險(xiǎn)的發(fā)生，必須將與轉(zhuǎn)向功能相關(guān)的故障控制在 196ms 內(nèi)。車(chē)輛如果翻轉(zhuǎn)或旋轉(zhuǎn)，乘客就可能受傷，因此，轉(zhuǎn)向功能必須在 70ms 內(nèi)可用。關(guān)于與行為規(guī)劃相關(guān)的失效，例如由于 DGPS 故障導(dǎo)致失效，其反應(yīng)時(shí)間為 155ms，因此可能需要適當(dāng)?shù)墓δ芙导?jí)。最后，必須正確劃分不同的功能，以避免發(fā)生級(jí)聯(lián)故障。

四、結(jié)論

以上介紹了一種基于模擬的故障注入方法，以評(píng)估自動(dòng)車(chē)輛功能的安全性。并將該方法應(yīng)用到嵌入自動(dòng)橫向控制功能的城市車(chē)輛案例中。本文將重點(diǎn)放在基于最大橫向誤差和轉(zhuǎn)向飽和的永久性故障的 FTTI 值的確定上。本文所提方法的一個(gè)主要優(yōu)點(diǎn)是它可以作為安全分析方法的補(bǔ)充，實(shí)現(xiàn)一個(gè) ISO 26262 兼容的安全評(píng)估過(guò)程。