成熟的大公司硬體安全究竟涉及到哪些內容？

2017-07-03數位

從最基本的硬體設計就能看出來成熟大公司的硬體安全。

1.什麽是硬體設計

硬體設計包括以下兩個部份：

1.硬體架構設計：所有硬體元件以及他們彼此的相互關系

2.硬體詳細設計：在電氣原理圖級別上，表示構成硬體組建的元器件間的相互連線

為開發同時符合硬體安全要求及所有的非安全要求的單一的硬體設計，一般來說，安全和非安全性要求應在同一開發過程中處理。

2.什麽階段完成硬體設計

硬體設計依賴關系圖

3.為什麽要做硬體安全設計

1.按照系統設計規範和硬體安全要求設計硬體

2.驗證硬體設計是否違背系統設計規範和硬體安全需求

4.硬體安全設計要求

1.基本通用要求

1.符合硬體安全需求

2.每個硬體元件應整合其所執行的硬體安全需求中的最高的ASIL等級

3.如果一個硬體要素沒有指定ASIL等級或指定了不同的ASIL等級，除非滿足要素共存準則，否則每個子要素應該按照最高ASIL等級處理

4.硬體設計保持上下的追溯性

2.硬體架構設計要求

硬體架構設計要求

在硬體架構設計時，應考慮安全相關硬體元件失效的非功能性原因，如果適用，可包括以下的影響因素：溫度、振動、水、灰塵、電磁幹擾、來自硬體架構的其它硬體元件或其所在環境的串擾。

（PS這些要求的定義本身還是很容易理解的，我就不一一解釋了）

3.硬體詳細設計要求

1.為避免常見的設計缺陷，應該運用相關經驗總結。

2.在硬體詳細設計時，應考慮安全相關硬體零部件失效的非功能性原因，如果適用，可包括以下的影響因素：溫度、振動、水、灰塵、電磁幹擾、雜訊因素、來自硬體元件的其它硬體元器件或其所在環境的串擾。

3.硬體詳細設計中，硬體元器件的執行條件應符合它們的環境和執行限制規範。

4.應考慮魯棒性設計原則。可利用品質管理方法的核對表進行展示

4.安全分析

1.需要進行硬體設計的安全分析，用來辨識失效的原因和故障的影響

硬體安全分析方法

演繹分析方法包括故障樹分析（FTA）、魚骨圖、可靠性分析；（其中選取一種即可，ASILC、ASILD強制要求）

歸納分析方法包括失效模式與影響分析（FMEA）、事件樹分析（ETA）、馬爾科夫（Markov）模型；（其中選取一種即可，ASILA、ASILB、ASILC、ASILD均強制要求）

安全分析的目的是支持硬體設計定義，也可以用於硬體設計驗證，我們後面會提到，就支持硬體設計定義的目的來說，定性分析是足夠的

2.對於每個安全相關的硬體元件或元器件，安全分析應辨識以下內容：

1.安全故障

2.單點故障或殘余故障

3.多點故障 （在大多數情況下，分析可以限制到雙點故障，但有時階次高於2的多點故障可能顯示與技術安全概念有關（例如，當執行冗余安全機制時）而辨識雙點故障的目的，並不是要求對每一種可能的兩個硬體故障的組合進行系統的分析，但是至少要考慮從技術安全概念得出的組合（例如兩個故障的組合：一個故障影響了安全相關的要素，另一個故障影響了相應的為達到或維持安全狀態所需的安全機制）)

3.應具備安全機制避免單點故障有效性的證據

1.應具備證據以證明安全機制具有保持安全狀態或安全的切換到安全狀態的能力（特別是在容錯時間間隔內適當的失效減輕能力）

2.應評估殘余故障的診斷覆蓋率。

4.應具備安全機制避免潛伏故障的有效性的證據。

1.應具備證據以證明在可接受的多點故障探測時間間隔內完成潛伏故障的失效探測及警示駕駛員的能力，以確定哪些故障保持潛伏，哪些故障不再保持潛伏；

2. 應評估潛伏故障的診斷覆蓋率。

5.提供證明硬體設計與其獨立性的要求

6.如果硬體設計引入了新危害，且這個危害沒有被現有的安全目標覆蓋，則應按照變更管理流程對它們進行危害分析和風險評估。

5.硬體設計驗證

驗證硬體設計與硬體安全需求的一致性和完整性

硬體設計驗證方法

6.生產、執行、維護和報廢

1.如果安全分析表明生產、執行、維護和報廢與安全相關，則應定義其安全相關的特殊特性，這些特殊特性應包括生產和執行的驗證措以及這些措施的接受準則。（例如一種依賴於新的傳感器技術的硬體設計的安全性分析，影像或雷達傳感器，可以揭示與這些傳感器要求的特殊安裝流程的關系。在這種情況下，這些元件的額外驗證措施有必要在生產階段進行）

2.如果對安全相關硬體要素的組裝、拆卸和報廢可能影響技術安全概念，則應定義這些操作的指導說明。

3.確保安全相關硬體要素的可追溯性。

4.如果維護可能影響技術安全概念，應定義安全相關硬體要素的維護說明。

5.怎樣做硬體安全架構設計

我們這裏直接給出一些實際的用例

具體的硬體架構設計是需要根據產品需求和產品特性去確定的，很難去統一化，所以我簡單畫一個示意圖，這部份架構的基本元素一般是通用的。