芝能智芯出品

隨著汽車智能化和自動駕駛技術的快速演進，失效運行（Fail-Operational）架構已成為實現L4/L5級自動駕駛的核心技術挑戰。

基于TTTech Auto提出的系統性分析方法，深入探討失效運行架構的設計邏輯、安全目標分解及驗證流程，研究發現該架構通過冗余與多樣性設計、安全決策邏輯以及形式化驗證技術，實現了從傳統失效安全（Fail-Safe）到失效運行的跨越。

系統性分析方法在硬件/軟件失效概率評估、單點故障識別及依賴失效分析中的應用，并結合形式驗證工具SAL的實踐案例，為自動駕駛系統的安全設計提供了可量化、可驗證的工程路徑，對芯片級安全架構設計具有重要參考價值。

Part 1

失效運行架構的技術挑戰

與系統性分析框架

傳統L2級輔助駕駛系統采用“失效靜默”（Fail-Silent）策略，即在檢測到故障時直接退出并依賴人類駕駛員接管。然而，L4/L5級自動駕駛系統要求在故障發生后仍能維持安全操作，例如自主靠邊停車。

● 這一失效運行能力對系統架構提出了多重挑戰：

◎ 首先是冗余設計的復雜性，需要在傳感器、計算單元和執行器等關鍵路徑上實現多重冗余；

◎ 其次是故障檢測與決策的實時性，要求系統在微秒級時間內完成故障診斷并切換至安全策略；

◎ 最后是系統性驗證的完備性，傳統FMEA（失效模式與效應分析）難以全面覆蓋復雜系統的潛在失效組合。

● 為應對這些挑戰，三層計算通道的參考架構：主自動駕駛通道負責正常工況下的軌跡規劃，安全監控通道實時驗證主通道輸出的安全性（如避免碰撞），而熱備冗余通道則在主通道失效時提供最小風險機動（MRM）軌跡。

◎ 以ISO 26262標準為基準，結合形式化驗證技術，構建了一個覆蓋“安全目標定義→架構合規性審查→量化分析→驗證→改進”的閉環流程。將系統級安全目標（如避免碰撞）分解為正確性目標（ASIL D）和可用性目標（ASIL B/D），并通過馬爾可夫模型量化各子系統的失效概率；

◎ 接著基于“無單點故障”原則審查架構合規性，要求主通道與冗余通道采用不同傳感器模態（如攝像頭+激光雷達+毫米波雷達）和異構計算平臺（如不同廠商的SoC）；

◎ 隨后通過量化失效分析評估硬件失效概率（基于FIT指標和組件可靠性數據）、軟件復雜度（通過代碼行數和圈復雜度等指標）以及依賴失效（識別共因失效并通過隔離措施提升獨立性）；

◎ 最后采用SAL模型檢查器進行形式化驗證，將系統架構、故障模式及安全屬性編碼為數學模型，通過窮舉狀態空間驗證設計的完備性，并根據驗證結果迭代優化架構設計，例如增加冗余層級或引入動態重構機制。

Part 2

形式化驗證

在失效運行架構中的關鍵作用

● 傳統基于測試用例的驗證方法在復雜自動駕駛系統中存在顯著局限性：狀態空間爆炸使得窮舉測試不可行（系統狀態組合數可達10^100量級），未知邊界條件難以覆蓋所有極端場景（如傳感器遮擋或算法誤判），且FMEA等人為分析方法易受主觀影響而遺漏潛在失效路徑。

為此，TTTech Auto引入SAL（Symbolic Analysis Laboratory）模型檢查器，實現了形式化驗證的工程化應用。

該工具通過狀態機描述語言將系統架構、故障注入邏輯及安全屬性（如“任何時刻至少有一個通道輸出安全軌跡”）編碼為數學公式，利用符號執行技術遍歷所有可能狀態轉移并自動生成反例以揭示設計漏洞，同時還能驗證邏輯模塊到物理硬件映射是否引入共因失效。

例如，當安全監控模塊與冗余通道部署在同一SoC分區時，SAL可檢測因資源競爭導致的故障傳播風險。

以安全監控模塊的驗證為例，SAL分析發現，當主通道輸出正常軌跡而冗余通道因傳感器故障生成錯誤軌跡時，監控模塊可能錯誤地將主通道軌跡標記為“不安全”，同時將錯誤軌跡標記為“安全”，導致系統切換至危險狀態。

為解決這一缺陷，設計通過增加監控算法的多樣性（如引入獨立的路徑規劃驗證模塊）消除了誤判風險。這一案例充分展示了形式化驗證在提升系統可靠性和安全性方面的獨特優勢。

● 系統性分析方法為芯片設計提供了重要啟示，芯片需支持異構冗余架構，

◎ 例如多處理器核、獨立內存域及安全島（如ARM的TrustZone）以實現功能隔離；

◎ 其次，應集成硬件級錯誤檢測機制（如奇偶校驗、EDAC）以縮短故障響應時間；

◎ 此外，將SAL等形式化驗證工具嵌入芯片設計流程，可實現從RTL級到系統級的全鏈條驗證。

● 展望未來，失效運行架構的技術演進方向包括：通過軟件定義架構（SDA）實現故障時的動態資源重組，利用對抗訓練提升AI算法的魯棒性，以及探索量子計算在狀態空間遍歷中的應用潛力。

小結

系統性分析方法通過硬件/軟件冗余設計、量化失效分析及形式化驗證的深度融合，為自動駕駛失效運行架構提供了切實可行的工程方案，滿足ISO 26262對ASIL D級系統的嚴苛要求，還通過SAL工具實現了復雜系統的“數學級”安全證明。

       原文標題 : 汽車智能駕駛的失效運行架構