17、智能驾驶硬件架构安全设计一般原则

这段文字具体形貌了硬件安全架构设计的一系列要求和原则，涵盖了从根本设计原则到具体实现细节和验证要求：
一、根本设计原则

• 平衡冗余与复杂度：硬件安全架构需平衡硬件冗余设计和故障检测回路以提高容错本领，同时降低硬件复杂度以避免复杂接口和系统失效。
  

二、硬件容错设计覆盖的故障范例

• 内部器件故障：包罗恒态和瞬态故障。
  
• 外部接口故障：涉及数字IO、模拟AD、网络接口和其他总线接口。
  
• 外部情况干扰：电压浮动、EMC、振动和温湿度变革。
  
• 人机失效：防范操作和维护人员的失误。
  
• 外部传感器故障：摄像头、激光雷达、毫米波雷达、IMU和GNSS等。
  

三、故障覆盖率要求

硬件检测措施需达到与ASIL（汽车安全完备性等级）等级划一的单点故障覆盖率和潜伏故障覆盖率要求。
四、多通道设计

高阶自动驾驶系统应接纳多通道设计，并定义单通道故障后的告急运行容错时间隔断EOTTI或降级模式下的ASIL等级要求。
五、故障处理与安全导向措施

明确检测到故障后的安全导向措施，对于无法在控制器级别定义的安全侧，应确保故障通知给应用层的方式的安全性。
六、性能要求分配

在架构元素中分配与安全相关的性能要求（故障错误时间隔断FTTI），明确各安全部件的故障检测、处理和潜伏故障检错隔断要求。
七、可靠性、可维护性和可用性设计

思量接口的紧固、器件降额、接地、过压浪涌保护等设计，以提高系统的可靠性、可维护性和可用性。
八、通讯区分

区分系统内的安全相关通讯和非安全相关通讯，避免差别安全等级的通讯相互干扰。
九、避错设计原则

遵照清楚分层、模块化、布局化设计原则，接纳符合的设计规范、形式化或半形式化开发工具，简化设计，提高可测试性，并接纳颠末广泛证明的元器件和模块。
十、ASIL等级分配原则

• 硬件模块的ASIL等级取决于其所继续的最高安全需求等级。
  
• 可通过冗余设计将高ASIL等级要求分配到低ASIL等级要求的硬件模块，但需满足功能和物理独立性。
  
• 差别ASIL等级的硬件模块间接口需提供功能、物理和电气隔离措施。
  
• 无法包管独立性时，应按受影响的最高的ASIL等级要求硬件模块。
  

十一、可编程半导体芯片要求

对于分配了ASIL等级的可编程半导体芯片，应提供符合ISO 26262对应安全等级要求的证据，并满足芯片作为SEooC（系统级安全目标到组件级安全要求）输出的外部运行限定条件。
十二、硬件安全架构设计证据要求

• 文档需满足可理解性、明确性、划一性、可行性、可验证性、必要性和完备性原则。
  
• 硬件架构安全设计应有充分的验证证据。
  
• 硬件安全设计应与系统设计危害分析、可依靠型危害分析、失效模式影响分析中辨认的硬件相关安全机制形成追溯关系。
  

综上所述，硬件安全架构设计需综合思量多个方面，确保系统在各种故障和干扰下仍能安全运行，满足ASIL等级要求，并提供充分的验证证据。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。