成熟的大公司硬件安全究竟涉及到哪些内容？

2017-07-03数码

从最基本的硬件设计就能看出来成熟大公司的硬件安全。

1.什么是硬件设计

硬件设计包括以下两个部分：

1.硬件架构设计：所有硬件组件以及他们彼此的相互关系

2.硬件详细设计：在电气原理图级别上，表示构成硬件组建的元器件间的相互连接

为开发同时符合硬件安全要求及所有的非安全要求的单一的硬件设计，一般来说，安全和非安全性要求应在同一开发过程中处理。

2.什么阶段完成硬件设计

硬件设计依赖关系图

3.为什么要做硬件安全设计

1.按照系统设计规范和硬件安全要求设计硬件

2.验证硬件设计是否违背系统设计规范和硬件安全需求

4.硬件安全设计要求

1.基本通用要求

1.符合硬件安全需求

2.每个硬件组件应集成其所执行的硬件安全需求中的最高的ASIL等级

3.如果一个硬件要素没有指定ASIL等级或指定了不同的ASIL等级，除非满足要素共存准则，否则每个子要素应该按照最高ASIL等级处理

4.硬件设计保持上下的追溯性

2.硬件架构设计要求

硬件架构设计要求

在硬件架构设计时，应考虑安全相关硬件组件失效的非功能性原因，如果适用，可包括以下的影响因素：温度、振动、水、灰尘、电磁干扰、来自硬件架构的其它硬件组件或其所在环境的串扰。

（PS这些要求的定义本身还是很容易理解的，我就不一一解释了）

3.硬件详细设计要求

1.为避免常见的设计缺陷，应该运用相关经验总结。

2.在硬件详细设计时，应考虑安全相关硬件零部件失效的非功能性原因，如果适用，可包括以下的影响因素：温度、振动、水、灰尘、电磁干扰、噪声因素、来自硬件组件的其它硬件元器件或其所在环境的串扰。

3.硬件详细设计中，硬件元器件的运行条件应符合它们的环境和运行限制规范。

4.应考虑鲁棒性设计原则。可利用质量管理方法的核对表进行展示

4.安全分析

1.需要进行硬件设计的安全分析，用来识别失效的原因和故障的影响

硬件安全分析方法

演绎分析方法包括故障树分析（FTA）、鱼骨图、可靠性分析；（其中选取一种即可，ASILC、ASILD强制要求）

归纳分析方法包括失效模式与影响分析（FMEA）、事件树分析（ETA）、马尔科夫（Markov）模型；（其中选取一种即可，ASILA、ASILB、ASILC、ASILD均强制要求）

安全分析的目的是支持硬件设计定义，也可以用于硬件设计验证，我们后面会提到，就支持硬件设计定义的目的来说，定性分析是足够的

2.对于每个安全相关的硬件组件或元器件，安全分析应识别以下内容：

1.安全故障

2.单点故障或残余故障

3.多点故障 （在大多数情况下，分析可以限制到双点故障，但有时阶次高于2的多点故障可能显示与技术安全概念有关（例如，当执行冗余安全机制时）而识别双点故障的目的，并不是要求对每一种可能的两个硬件故障的组合进行系统的分析，但是至少要考虑从技术安全概念得出的组合（例如两个故障的组合：一个故障影响了安全相关的要素，另一个故障影响了相应的为达到或维持安全状态所需的安全机制）)

3.应具备安全机制避免单点故障有效性的证据

1.应具备证据以证明安全机制具有保持安全状态或安全的切换到安全状态的能力（特别是在容错时间间隔内适当的失效减轻能力）

2.应评估残余故障的诊断覆盖率。

4.应具备安全机制避免潜伏故障的有效性的证据。

1.应具备证据以证明在可接受的多点故障探测时间间隔内完成潜伏故障的失效探测及警示驾驶员的能力，以确定哪些故障保持潜伏，哪些故障不再保持潜伏；

2. 应评估潜伏故障的诊断覆盖率。

5.提供证明硬件设计与其独立性的要求

6.如果硬件设计引入了新危害，且这个危害没有被现有的安全目标覆盖，则应按照变更管理流程对它们进行危害分析和风险评估。

5.硬件设计验证

验证硬件设计与硬件安全需求的一致性和完整性

硬件设计验证方法

6.生产、运行、维护和报废

1.如果安全分析表明生产、运行、维护和报废与安全相关，则应定义其安全相关的特殊特性，这些特殊特性应包括生产和运行的验证措以及这些措施的接受准则。（例如一种依赖于新的传感器技术的硬件设计的安全性分析，影像或雷达传感器，可以揭示与这些传感器要求的特殊安装流程的关系。在这种情况下，这些组件的额外验证措施有必要在生产阶段进行）

2.如果对安全相关硬件要素的组装、拆卸和报废可能影响技术安全概念，则应定义这些操作的指导说明。

3.确保安全相关硬件要素的可追溯性。

4.如果维护可能影响技术安全概念，应定义安全相关硬件要素的维护说明。

5.怎样做硬件安全架构设计

我们这里直接给出一些实际的用例

具体的硬件架构设计是需要根据产品需求和产品特性去确定的，很难去统一化，所以我简单画一个示意图，这部分架构的基本元素一般是通用的。