芝能智芯出品

隨著汽車智能化和自動(dòng)駕駛技術(shù)的快速演進(jìn)，失效運(yùn)行（Fail-Operational）架構(gòu)已成為實(shí)現(xiàn)L4/L5級(jí)自動(dòng)駕駛的核心技術(shù)挑戰(zhàn)。

基于TTTech Auto提出的系統(tǒng)性分析方法，深入探討失效運(yùn)行架構(gòu)的設(shè)計(jì)邏輯、安全目標(biāo)分解及驗(yàn)證流程，研究發(fā)現(xiàn)該架構(gòu)通過(guò)冗余與多樣性設(shè)計(jì)、安全決策邏輯以及形式化驗(yàn)證技術(shù)，實(shí)現(xiàn)了從傳統(tǒng)失效安全（Fail-Safe）到失效運(yùn)行的跨越。

系統(tǒng)性分析方法在硬件/軟件失效概率評(píng)估、單點(diǎn)故障識(shí)別及依賴失效分析中的應(yīng)用，并結(jié)合形式驗(yàn)證工具SAL的實(shí)踐案例，為自動(dòng)駕駛系統(tǒng)的安全設(shè)計(jì)提供了可量化、可驗(yàn)證的工程路徑，對(duì)芯片級(jí)安全架構(gòu)設(shè)計(jì)具有重要參考價(jià)值。

Part 1

失效運(yùn)行架構(gòu)的技術(shù)挑戰(zhàn)

與系統(tǒng)性分析框架

傳統(tǒng)L2級(jí)輔助駕駛系統(tǒng)采用“失效靜默”（Fail-Silent）策略，即在檢測(cè)到故障時(shí)直接退出并依賴人類駕駛員接管。然而，L4/L5級(jí)自動(dòng)駕駛系統(tǒng)要求在故障發(fā)生后仍能維持安全操作，例如自主靠邊停車。

● 這一失效運(yùn)行能力對(duì)系統(tǒng)架構(gòu)提出了多重挑戰(zhàn)：

◎ 首先是冗余設(shè)計(jì)的復(fù)雜性，需要在傳感器、計(jì)算單元和執(zhí)行器等關(guān)鍵路徑上實(shí)現(xiàn)多重冗余；

◎ 其次是故障檢測(cè)與決策的實(shí)時(shí)性，要求系統(tǒng)在微秒級(jí)時(shí)間內(nèi)完成故障診斷并切換至安全策略；

◎ 最后是系統(tǒng)性驗(yàn)證的完備性，傳統(tǒng)FMEA（失效模式與效應(yīng)分析）難以全面覆蓋復(fù)雜系統(tǒng)的潛在失效組合。

● 為應(yīng)對(duì)這些挑戰(zhàn)，三層計(jì)算通道的參考架構(gòu)：主自動(dòng)駕駛通道負(fù)責(zé)正常工況下的軌跡規(guī)劃，安全監(jiān)控通道實(shí)時(shí)驗(yàn)證主通道輸出的安全性（如避免碰撞），而熱備冗余通道則在主通道失效時(shí)提供最小風(fēng)險(xiǎn)機(jī)動(dòng)（MRM）軌跡。

◎ 以ISO 26262標(biāo)準(zhǔn)為基準(zhǔn)，結(jié)合形式化驗(yàn)證技術(shù)，構(gòu)建了一個(gè)覆蓋“安全目標(biāo)定義→架構(gòu)合規(guī)性審查→量化分析→驗(yàn)證→改進(jìn)”的閉環(huán)流程。將系統(tǒng)級(jí)安全目標(biāo)（如避免碰撞）分解為正確性目標(biāo)（ASIL D）和可用性目標(biāo)（ASIL B/D），并通過(guò)馬爾可夫模型量化各子系統(tǒng)的失效概率；

◎ 接著基于“無(wú)單點(diǎn)故障”原則審查架構(gòu)合規(guī)性，要求主通道與冗余通道采用不同傳感器模態(tài)（如攝像頭+激光雷達(dá)+毫米波雷達(dá)）和異構(gòu)計(jì)算平臺(tái)（如不同廠商的SoC）；

◎ 隨后通過(guò)量化失效分析評(píng)估硬件失效概率（基于FIT指標(biāo)和組件可靠性數(shù)據(jù)）、軟件復(fù)雜度（通過(guò)代碼行數(shù)和圈復(fù)雜度等指標(biāo)）以及依賴失效（識(shí)別共因失效并通過(guò)隔離措施提升獨(dú)立性）；

◎ 最后采用SAL模型檢查器進(jìn)行形式化驗(yàn)證，將系統(tǒng)架構(gòu)、故障模式及安全屬性編碼為數(shù)學(xué)模型，通過(guò)窮舉狀態(tài)空間驗(yàn)證設(shè)計(jì)的完備性，并根據(jù)驗(yàn)證結(jié)果迭代優(yōu)化架構(gòu)設(shè)計(jì)，例如增加冗余層級(jí)或引入動(dòng)態(tài)重構(gòu)機(jī)制。

Part 2

形式化驗(yàn)證

在失效運(yùn)行架構(gòu)中的關(guān)鍵作用

● 傳統(tǒng)基于測(cè)試用例的驗(yàn)證方法在復(fù)雜自動(dòng)駕駛系統(tǒng)中存在顯著局限性：狀態(tài)空間爆炸使得窮舉測(cè)試不可行（系統(tǒng)狀態(tài)組合數(shù)可達(dá)10^100量級(jí)），未知邊界條件難以覆蓋所有極端場(chǎng)景（如傳感器遮擋或算法誤判），且FMEA等人為分析方法易受主觀影響而遺漏潛在失效路徑。

為此，TTTech Auto引入SAL（Symbolic Analysis Laboratory）模型檢查器，實(shí)現(xiàn)了形式化驗(yàn)證的工程化應(yīng)用。

該工具通過(guò)狀態(tài)機(jī)描述語(yǔ)言將系統(tǒng)架構(gòu)、故障注入邏輯及安全屬性（如“任何時(shí)刻至少有一個(gè)通道輸出安全軌跡”）編碼為數(shù)學(xué)公式，利用符號(hào)執(zhí)行技術(shù)遍歷所有可能狀態(tài)轉(zhuǎn)移并自動(dòng)生成反例以揭示設(shè)計(jì)漏洞，同時(shí)還能驗(yàn)證邏輯模塊到物理硬件映射是否引入共因失效。

例如，當(dāng)安全監(jiān)控模塊與冗余通道部署在同一SoC分區(qū)時(shí)，SAL可檢測(cè)因資源競(jìng)爭(zhēng)導(dǎo)致的故障傳播風(fēng)險(xiǎn)。

以安全監(jiān)控模塊的驗(yàn)證為例，SAL分析發(fā)現(xiàn)，當(dāng)主通道輸出正常軌跡而冗余通道因傳感器故障生成錯(cuò)誤軌跡時(shí)，監(jiān)控模塊可能錯(cuò)誤地將主通道軌跡標(biāo)記為“不安全”，同時(shí)將錯(cuò)誤軌跡標(biāo)記為“安全”，導(dǎo)致系統(tǒng)切換至危險(xiǎn)狀態(tài)。

為解決這一缺陷，設(shè)計(jì)通過(guò)增加監(jiān)控算法的多樣性（如引入獨(dú)立的路徑規(guī)劃驗(yàn)證模塊）消除了誤判風(fēng)險(xiǎn)。這一案例充分展示了形式化驗(yàn)證在提升系統(tǒng)可靠性和安全性方面的獨(dú)特優(yōu)勢(shì)。

● 系統(tǒng)性分析方法為芯片設(shè)計(jì)提供了重要啟示，芯片需支持異構(gòu)冗余架構(gòu)，

◎ 例如多處理器核、獨(dú)立內(nèi)存域及安全島（如ARM的TrustZone）以實(shí)現(xiàn)功能隔離；

◎ 其次，應(yīng)集成硬件級(jí)錯(cuò)誤檢測(cè)機(jī)制（如奇偶校驗(yàn)、EDAC）以縮短故障響應(yīng)時(shí)間；

◎ 此外，將SAL等形式化驗(yàn)證工具嵌入芯片設(shè)計(jì)流程，可實(shí)現(xiàn)從RTL級(jí)到系統(tǒng)級(jí)的全鏈條驗(yàn)證。

● 展望未來(lái)，失效運(yùn)行架構(gòu)的技術(shù)演進(jìn)方向包括：通過(guò)軟件定義架構(gòu)（SDA）實(shí)現(xiàn)故障時(shí)的動(dòng)態(tài)資源重組，利用對(duì)抗訓(xùn)練提升AI算法的魯棒性，以及探索量子計(jì)算在狀態(tài)空間遍歷中的應(yīng)用潛力。

小結(jié)

系統(tǒng)性分析方法通過(guò)硬件/軟件冗余設(shè)計(jì)、量化失效分析及形式化驗(yàn)證的深度融合，為自動(dòng)駕駛失效運(yùn)行架構(gòu)提供了切實(shí)可行的工程方案，滿足ISO 26262對(duì)ASIL D級(jí)系統(tǒng)的嚴(yán)苛要求，還通過(guò)SAL工具實(shí)現(xiàn)了復(fù)雜系統(tǒng)的“數(shù)學(xué)級(jí)”安全證明。

       原文標(biāo)題 : 汽車智能駕駛的失效運(yùn)行架構(gòu)