这段文字具体形貌了硬件安全架构设计的一系列要求和原则,涵盖了从根本设计原则到具体实现细节和验证要求:
一、根本设计原则
- 平衡冗余与复杂度:硬件安全架构需平衡硬件冗余设计和故障检测回路以提高容错本领,同时降低硬件复杂度以避免复杂接口和系统失效。
二、硬件容错设计覆盖的故障范例
- 内部器件故障:包罗恒态和瞬态故障。
- 外部接口故障:涉及数字IO、模拟AD、网络接口和其他总线接口。
- 外部情况干扰:电压浮动、EMC、振动和温湿度变革。
- 人机失效:防范操作和维护人员的失误。
- 外部传感器故障:摄像头、激光雷达、毫米波雷达、IMU和GNSS等。
三、故障覆盖率要求
硬件检测措施需达到与ASIL(汽车安全完备性等级)等级划一的单点故障覆盖率和潜伏故障覆盖率要求。
四、多通道设计
高阶自动驾驶系统应接纳多通道设计,并定义单通道故障后的告急运行容错时间隔断EOTTI或降级模式下的ASIL等级要求。
五、故障处理与安全导向措施
明确检测到故障后的安全导向措施,对于无法在控制器级别定义的安全侧,应确保故障通知给应用层的方式的安全性。
六、性能要求分配
在架构元素中分配与安全相关的性能要求(故障错误时间隔断FTTI),明确各安全部件的故障检测、处理和潜伏故障检错隔断要求。
七、可靠性、可维护性和可用性设计
思量接口的紧固、器件降额、接地、过压浪涌保护等设计,以提高系统的可靠性、可维护性和可用性。
八、通讯区分
区分系统内的安全相关通讯和非安全相关通讯,避免差别安全等级的通讯相互干扰。
九、避错设计原则
遵照清楚分层、模块化、布局化设计原则,接纳符合的设计规范、形式化或半形式化开发工具,简化设计,提高可测试性,并接纳颠末广泛证明的元器件和模块。
十、ASIL等级分配原则
- 硬件模块的ASIL等级取决于其所继续的最高安全需求等级。
- 可通过冗余设计将高ASIL等级要求分配到低ASIL等级要求的硬件模块,但需满足功能和物理独立性。
- 差别ASIL等级的硬件模块间接口需提供功能、物理和电气隔离措施。
- 无法包管独立性时,应按受影响的最高的ASIL等级要求硬件模块。
十一、可编程半导体芯片要求
对于分配了ASIL等级的可编程半导体芯片,应提供符合ISO 26262对应安全等级要求的证据,并满足芯片作为SEooC(系统级安全目标到组件级安全要求)输出的外部运行限定条件。
十二、硬件安全架构设计证据要求
- 文档需满足可理解性、明确性、划一性、可行性、可验证性、必要性和完备性原则。
- 硬件架构安全设计应有充分的验证证据。
- 硬件安全设计应与系统设计危害分析、可依靠型危害分析、失效模式影响分析中辨认的硬件相关安全机制形成追溯关系。
综上所述,硬件安全架构设计需综合思量多个方面,确保系统在各种故障和干扰下仍能安全运行,满足ASIL等级要求,并提供充分的验证证据。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
