從最基本的硬件設計就能看出來成熟大公司的硬件安全。
1.什麽是硬件設計
硬件設計包括以下兩個部份:
1.硬件架構設計:所有硬件元件以及他們彼此的相互關系
2.硬件詳細設計:在電氣原理圖級別上,表示構成硬件組建的元器件間的相互連線
為開發同時符合硬件安全要求及所有的非安全要求的單一的硬件設計,一般來說,安全和非安全性要求應在同一開發過程中處理。
2.什麽階段完成硬件設計
3.為什麽要做硬件安全設計
1.按照系統設計規範和硬件安全要求設計硬件
2.驗證硬件設計是否違背系統設計規範和硬件安全需求
4.硬件安全設計要求
1.基本通用要求
1.符合硬件安全需求
2.每個硬件元件應整合其所執行的硬件安全需求中的最高的ASIL等級
3.如果一個硬件要素沒有指定ASIL等級或指定了不同的ASIL等級,除非滿足要素共存準則,否則每個子要素應該按照最高ASIL等級處理
4.硬件設計保持上下的追溯性
2.硬件架構設計要求
在硬件架構設計時,應考慮安全相關硬件元件失效的非功能性原因,如果適用,可包括以下的影響因素:溫度、振動、水、灰塵、電磁幹擾、來自硬件架構的其它硬件元件或其所在環境的串擾。
(PS這些要求的定義本身還是很容易理解的,我就不一一解釋了)
3.硬件詳細設計要求
1.為避免常見的設計缺陷,應該運用相關經驗總結。
2.在硬件詳細設計時,應考慮安全相關硬件零部件失效的非功能性原因,如果適用,可包括以下的影響因素:溫度、振動、水、灰塵、電磁幹擾、雜訊因素、來自硬件元件的其它硬件元器件或其所在環境的串擾。
3.硬件詳細設計中,硬件元器件的執行條件應符合它們的環境和執行限制規範。
4.應考慮魯棒性設計原則。可利用質素管理方法的核對表進行展示
4.安全分析
1.需要進行硬件設計的安全分析,用來辨識失效的原因和故障的影響
演繹分析方法包括故障樹分析(FTA)、魚骨圖、可靠性分析;(其中選取一種即可,ASILC、ASILD強制要求)
歸納分析方法包括失效模式與影響分析(FMEA)、事件樹分析(ETA)、馬爾科夫(Markov)模型;(其中選 取一種即可,ASILA、ASILB、ASILC、ASILD均強制要求)
安全分析的目的是支持硬件設計定義,也可以用於硬件設計驗證,我們後面會提到,就支持硬件設計定義的目的來說,定性分析是足夠的
2.對於每個安全相關的硬件元件或元器件,安全分析應辨識以下內容:
1.安全故障
2.單點故障或殘余故障
3.多點故障 (在大多數情況下,分析可以限制到雙點故障,但有時階次高於2的多點故障可能顯示與技術安全概念有關(例如,當執行冗余安全機制時)而辨識雙點故障的目的,並不是要求對每一種可能的兩個硬件故障的組合進行系統的分析,但是至少要考慮從技術安全概念得出的組合(例如兩個故障的組合:一個故障影響了安全相關的要素,另一個故障影響了相應的為達到或維持安全狀態所需的安全機制))
3.應具備安全機制避免單點故障有效性的證據
1.應具備證據以證明安全機制具有保持安全狀態或安全的切換到安全狀態的能力(特別是在容錯時間間隔內適當的失效減輕能力)
2.應評估殘余故障的診斷覆蓋率。
4.應具備安全機制避免潛伏故障的有效性的證據。
1.應具備證據以證明在可接受的多點故障探測時間間隔內完成潛伏故障的失效探測及警示駕駛員的能力,以確定哪些故障保持潛伏,哪些故障不再保持潛伏;
2. 應評估潛伏故障的診斷覆蓋率。
5.提供證明硬件設計與其獨立性的要求
6.如果硬件設計引入了新危害,且這個危害沒有被現有的安全目標覆蓋,則應按照變更管理流程對它們進行危害分析和風險評估。
5.硬件設計驗證
驗證硬件設計與硬件安全需求的一致性和完整性
6.生產、執行、維護和報廢
1.如果安全分析表明生產、執行、維護和報廢與安全相關,則應定義其安全相關的特殊特性,這些特殊特性應包括 生產和執行的驗證措以及 這些措施的接受準則。 (例如一種依賴於新的傳感器技術的硬件設計的安全性分析,影像或雷達傳感器,可以揭示與這些傳感器要求的特殊安裝流程的關系。在這種情況下,這些元件的額外驗證措施有必要在生產階段進行)
2.如果對安全相關硬件要素的組裝、拆卸和報廢可能影響技術安全概念,則應定義這些操作的指導說明。
3.確保安全相關硬件要素的可追溯性。
4.如果維護可能影響技術安全概念,應定義安全相關硬件要素的維護說明。
5.怎樣做硬件安全架構設計
我們這裏直接給出一些實際的用例
具體的硬件架構設計是需要根據產品需求和產品特性去確定的,很難去統一化,所以我簡單畫一個示意圖,這部份架構的基本元素一般是通用的。
1.首先是低壓電,KL30的輸入濾波和保護,在不考慮低壓備份的情況下,KL30是ECU唯一的供電輸入源。
2.CAN收發器,需要CAN收發器進行與其他ECU的通訊,因為目前整車網絡還是以CAN和CANFD為主,有些CAN Transceiver芯片,尤其是使用CANFD時,需要使用透過SPI來進行配置。
3.TLF3558x芯片作為電源管理芯片並提供外部看門狗功能,電壓輸出包括1.3V的芯片內核電壓,3.3V的IO電壓,5V的供電電壓和ADC等外設工作輸入電壓,最高功能安全等級為ASIL D,所以在汽車電子產品中套用廣泛。
4.英飛淩的Aurix Tricore系列Tc39x是六核芯片架構,支持4核的Lockstep,最高功能安全等級ASIL D可以滿足大部份傳統產品的套用。
5.其他的電路包括驅動電路,采樣電路,傳感器等就需要針對不同的產品進行客製化匹配和偵錯,沒有辦法去統一的去展示了。
關於定性和定量的安全分析,也就是FTA和FMEA,這兩個topic比較復雜也比較大,我會在後面的章節分開詳細講解。關於SBC和芯片純技術相關的內容也會在另一個專欄慢慢分享(主打的就是一個細水長流 )
6.結語
今天關於硬件設計的分享就到這裏了,硬件安全設計本身還是非常吃功力的,尤其是硬件架構設計和詳細設計,所以只從功能安全形度去理解硬件設計還是非常片面的,還是需要去靜下心來,了解和深入學習每個元器件的特性和特征,這樣才有可能將硬件設計與功能安全融會貫通。
我是窮困潦倒的資本家,別忘記點贊關註收藏( 手動狗頭 給 ),感謝大家的支持!!!⛄⛄⛄