这段文字详细描述了硬件安全架构设计的一系列要求和原则,涵盖了从基本设计原则到具体实现细节和验证要求:
一、基本设计原则
- 平衡冗余与复杂度:硬件安全架构需平衡硬件冗余设计和故障检测回路以提高容错能力,同时降低硬件复杂度以避免复杂接口和系统失效。
二、硬件容错设计覆盖的故障类型
- 内部器件故障:包括恒态和瞬态故障。
- 外部接口故障:涉及数字IO、模拟AD、网络接口和其他总线接口。
- 外部环境干扰:电压浮动、EMC、振动和温湿度变化。
- 人机失效:防范操作和维护人员的失误。
- 外部传感器故障:摄像头、激光雷达、毫米波雷达、IMU和GNSS等。
三、故障覆盖率要求
硬件检测措施需达到与ASIL(汽车安全完整性等级)等级一致的单点故障覆盖率和潜伏故障覆盖率要求。
四、多通道设计
高阶自动驾驶系统应采用多通道设计,并定义单通道故障后的紧急运行容错时间间隔EOTTI或降级模式下的ASIL等级要求。
五、故障处理与安全导向措施
明确检测到故障后的安全导向措施,对于无法在控制器级别定义的安全侧,应确保故障通知给应用层的方式的安全性。
六、性能要求分配
在架构元素中分配与安全相关的性能要求(故障错误时间间隔FTTI),明确各安全部件的故障检测、处理和潜伏故障检错间隔要求。
七、可靠性、可维护性和可用性设计
考虑接口的紧固、器件降额、接地、过压浪涌保护等设计,以提高系统的可靠性、可维护性和可用性。
八、通信区分
区分系统内的安全相关通信和非安全相关通信,避免不同安全等级的通信互相干扰。
九、避错设计原则
遵循清晰分层、模块化、结构化设计原则,采用合适的设计规范、形式化或半形式化开发工具,简化设计,提高可测试性,并采用经过广泛证明的元器件和模块。
十、ASIL等级分配原则
- 硬件模块的ASIL等级取决于其所继承的最高安全需求等级。
- 可通过冗余设计将高ASIL等级要求分配到低ASIL等级要求的硬件模块,但需满足功能和物理独立性。
- 不同ASIL等级的硬件模块间接口需提供功能、物理和电气隔离措施。
- 无法保证独立性时,应按受影响的最高的ASIL等级要求硬件模块。
十一、可编程半导体芯片要求
对于分配了ASIL等级的可编程半导体芯片,应提供符合ISO 26262对应安全等级要求的证据,并满足芯片作为SEooC(系统级安全目标到组件级安全要求)输出的外部运行限制条件。
十二、硬件安全架构设计证据要求
- 文档需满足可理解性、明确性、一致性、可行性、可验证性、必要性和完整性原则。
- 硬件架构安全设计应有充分的验证证据。
- 硬件安全设计应与系统设计危害分析、可依赖型危害分析、失效模式影响分析中识别的硬件相关安全机制形成追溯关系。
综上所述,硬件安全架构设计需综合考虑多个方面,确保系统在各种故障和干扰下仍能安全运行,满足ASIL等级要求,并提供充分的验证证据。