芝能智芯出品

隨著汽車智能化和自動駕駛技術(shù)的快速演進，失效運行（Fail-Operational）架構(gòu)已成為實現(xiàn)L4/L5級自動駕駛的核心技術(shù)挑戰(zhàn)。

基于TTTech Auto提出的系統(tǒng)性分析方法，深入探討失效運行架構(gòu)的設(shè)計邏輯、安全目標分解及驗證流程，研究發(fā)現(xiàn)該架構(gòu)通過冗余與多樣性設(shè)計、安全決策邏輯以及形式化驗證技術(shù)，實現(xiàn)了從傳統(tǒng)失效安全（Fail-Safe）到失效運行的跨越。

系統(tǒng)性分析方法在硬件/軟件失效概率評估、單點故障識別及依賴失效分析中的應用，并結(jié)合形式驗證工具SAL的實踐案例，為自動駕駛系統(tǒng)的安全設(shè)計提供了可量化、可驗證的工程路徑，對芯片級安全架構(gòu)設(shè)計具有重要參考價值。

Part 1

失效運行架構(gòu)的技術(shù)挑戰(zhàn)

與系統(tǒng)性分析框架

傳統(tǒng)L2級輔助駕駛系統(tǒng)采用“失效靜默”（Fail-Silent）策略，即在檢測到故障時直接退出并依賴人類駕駛員接管。然而，L4/L5級自動駕駛系統(tǒng)要求在故障發(fā)生后仍能維持安全操作，例如自主靠邊停車。

● 這一失效運行能力對系統(tǒng)架構(gòu)提出了多重挑戰(zhàn)：

◎ 首先是冗余設(shè)計的復雜性，需要在傳感器、計算單元和執(zhí)行器等關(guān)鍵路徑上實現(xiàn)多重冗余；

◎ 其次是故障檢測與決策的實時性，要求系統(tǒng)在微秒級時間內(nèi)完成故障診斷并切換至安全策略；

◎ 最后是系統(tǒng)性驗證的完備性，傳統(tǒng)FMEA（失效模式與效應分析）難以全面覆蓋復雜系統(tǒng)的潛在失效組合。

● 為應對這些挑戰(zhàn)，三層計算通道的參考架構(gòu)：主自動駕駛通道負責正常工況下的軌跡規(guī)劃，安全監(jiān)控通道實時驗證主通道輸出的安全性（如避免碰撞），而熱備冗余通道則在主通道失效時提供最小風險機動（MRM）軌跡。

◎ 以ISO 26262標準為基準，結(jié)合形式化驗證技術(shù)，構(gòu)建了一個覆蓋“安全目標定義→架構(gòu)合規(guī)性審查→量化分析→驗證→改進”的閉環(huán)流程。將系統(tǒng)級安全目標（如避免碰撞）分解為正確性目標（ASIL D）和可用性目標（ASIL B/D），并通過馬爾可夫模型量化各子系統(tǒng)的失效概率；

◎ 接著基于“無單點故障”原則審查架構(gòu)合規(guī)性，要求主通道與冗余通道采用不同傳感器模態(tài)（如攝像頭+激光雷達+毫米波雷達）和異構(gòu)計算平臺（如不同廠商的SoC）；

◎ 隨后通過量化失效分析評估硬件失效概率（基于FIT指標和組件可靠性數(shù)據(jù)）、軟件復雜度（通過代碼行數(shù)和圈復雜度等指標）以及依賴失效（識別共因失效并通過隔離措施提升獨立性）；

◎ 最后采用SAL模型檢查器進行形式化驗證，將系統(tǒng)架構(gòu)、故障模式及安全屬性編碼為數(shù)學模型，通過窮舉狀態(tài)空間驗證設(shè)計的完備性，并根據(jù)驗證結(jié)果迭代優(yōu)化架構(gòu)設(shè)計，例如增加冗余層級或引入動態(tài)重構(gòu)機制。

Part 2

形式化驗證

在失效運行架構(gòu)中的關(guān)鍵作用

● 傳統(tǒng)基于測試用例的驗證方法在復雜自動駕駛系統(tǒng)中存在顯著局限性：狀態(tài)空間爆炸使得窮舉測試不可行（系統(tǒng)狀態(tài)組合數(shù)可達10^100量級），未知邊界條件難以覆蓋所有極端場景（如傳感器遮擋或算法誤判），且FMEA等人為分析方法易受主觀影響而遺漏潛在失效路徑。

為此，TTTech Auto引入SAL（Symbolic Analysis Laboratory）模型檢查器，實現(xiàn)了形式化驗證的工程化應用。

該工具通過狀態(tài)機描述語言將系統(tǒng)架構(gòu)、故障注入邏輯及安全屬性（如“任何時刻至少有一個通道輸出安全軌跡”）編碼為數(shù)學公式，利用符號執(zhí)行技術(shù)遍歷所有可能狀態(tài)轉(zhuǎn)移并自動生成反例以揭示設(shè)計漏洞，同時還能驗證邏輯模塊到物理硬件映射是否引入共因失效。

例如，當安全監(jiān)控模塊與冗余通道部署在同一SoC分區(qū)時，SAL可檢測因資源競爭導致的故障傳播風險。

以安全監(jiān)控模塊的驗證為例，SAL分析發(fā)現(xiàn)，當主通道輸出正常軌跡而冗余通道因傳感器故障生成錯誤軌跡時，監(jiān)控模塊可能錯誤地將主通道軌跡標記為“不安全”，同時將錯誤軌跡標記為“安全”，導致系統(tǒng)切換至危險狀態(tài)。

為解決這一缺陷，設(shè)計通過增加監(jiān)控算法的多樣性（如引入獨立的路徑規(guī)劃驗證模塊）消除了誤判風險。這一案例充分展示了形式化驗證在提升系統(tǒng)可靠性和安全性方面的獨特優(yōu)勢。

● 系統(tǒng)性分析方法為芯片設(shè)計提供了重要啟示，芯片需支持異構(gòu)冗余架構(gòu)，

◎ 例如多處理器核、獨立內(nèi)存域及安全島（如ARM的TrustZone）以實現(xiàn)功能隔離；

◎ 其次，應集成硬件級錯誤檢測機制（如奇偶校驗、EDAC）以縮短故障響應時間；

◎ 此外，將SAL等形式化驗證工具嵌入芯片設(shè)計流程，可實現(xiàn)從RTL級到系統(tǒng)級的全鏈條驗證。

● 展望未來，失效運行架構(gòu)的技術(shù)演進方向包括：通過軟件定義架構(gòu)（SDA）實現(xiàn)故障時的動態(tài)資源重組，利用對抗訓練提升AI算法的魯棒性，以及探索量子計算在狀態(tài)空間遍歷中的應用潛力。

小結(jié)

系統(tǒng)性分析方法通過硬件/軟件冗余設(shè)計、量化失效分析及形式化驗證的深度融合，為自動駕駛失效運行架構(gòu)提供了切實可行的工程方案，滿足ISO 26262對ASIL D級系統(tǒng)的嚴苛要求，還通過SAL工具實現(xiàn)了復雜系統(tǒng)的“數(shù)學級”安全證明。

       原文標題 : 汽車智能駕駛的失效運行架構(gòu)