前言
以下是本期内容的思维导图:
一.什么是硬件设计
硬件安全设计包括以下两个部分:
1.硬件架构设计:所有硬件组件以及他们彼此的相互关系
2.硬件详细设计:在电气原理图级别上,表示构成硬件组建的元器件间的相互连接
为开发同时符合硬件安全要求及所有的非安全要求的单一的硬件设计,一般来说,安全和非安全性要求应在同一开发过程中处理。
二.什么阶段完成硬件设计
硬件设计依赖关系图
三.为什么要做硬件安全设计
1.按照系统设计规范和硬件安全要求设计硬件
2.验证硬件设计是否违背系统设计规范和硬件安全需求
功能安全对硬件的可靠性提出了三个指标,分别是单点故障度量,潜伏故障度量,以及随机硬件失效目标,硬件安全设计首先就需要满足这些要求,只有这样给产品提供一个安全性高、可靠性高的硬件设计。
四.硬件安全设计要求
一.基本通用要求
- 符合硬件安全需求
- 每个硬件组件应集成其所执行的硬件安全需求中的最高的ASIL等级
- 如果一个硬件要素没有指定ASIL等级或指定了不同的ASIL等级,除非满足要素共存准则,否则每个子要素应该按照最高ASIL等级处理
- 硬件设计保持上下的追溯性
二.硬件架构设计要求
硬件架构设计要求
在硬件架构设计时,应考虑安全相关硬件组件失效的非功能性原因,如果适用,可包括以下的影响因素:温度、振动、水、灰尘、电磁干扰、来自硬件架构的其它硬件组件或其所在环境的串扰。
(PS这些要求的定义本身还是很容易理解的,我就不一一解释了)
三.硬件详细设计要求
- 为避免常见的设计缺陷,应该运用相关经验总结。
- 在硬件详细设计时,应考虑安全相关硬件零部件失效的非功能性原因,如果适用,可包括以下的影响因素:温度、振动、水、灰尘、电磁干扰、噪声因素、来自硬件组件的其它硬件元器件或其所在环境的串扰。
- 硬件详细设计中,硬件元器件的运行条件应符合它们的环境和运行限制规范。
- 应考虑鲁棒性设计原则。可利用质量管理方法的核对表进行展示。
四.安全分析
1.需要进行硬件设计的安全分析,用来识别失效的原因和故障的影响
硬件安全分析方法
演绎分析方法包括故障树分析(FTA)、鱼骨图、可靠性分析;(其中选取一种即可,ASILC、ASILD强制要求)
归纳分析方法包括失效模式与影响分析(FMEA)、事件树分析(ETA)、马尔科夫(Markov)模型;(其中选 取一种即可,ASILA、ASILB、ASILC、ASILD均强制要求)
安全分析的目的是支持硬件设计定义,也可以用于硬件设计验证,我们后面会提到,就支持硬件设计定义的目的来说,定性分析是足够的。
2.对于每个安全相关的硬件组件或元器件,安全分析应识别以下内容:
- 1.安全故障
- 2.单点故障或残余故障
- 3.多点故障(在大多数情况下,分析可以限制到双点故障,但有时阶次高于2的多点故障可能显示与技术安全概念有关(例如,当执行冗余安全机制时)而识别双点故障的目的,并不是要求对每一种可能的两个硬件故障的组合进行系统的分析,但是至少要考虑从技术安全概念得出的组合(例如两个故障的组合:一个故障影响了安全相关的要素,另一个故障影响了相应的为达到或维持安全状态所需的安全机制))
3.应具备安全机制避免单点故障有效性的证据
- 应具备证据以证明安全机制具有保持安全状态或安全的切换到安全状态的能力(特别是在容错时间间隔内适当的失效减轻能力)
- 应评估残余故障的诊断覆盖率。
4.应具备安全机制避免潜伏故障的有效性的证据。
- 应具备证据以证明在可接受的多点故障探测时间间隔内完成潜伏故障的失效探测及警示驾驶员的能力,以确定哪些故障保持潜伏,哪些故障不再保持潜伏;
- 应评估潜伏故障的诊断覆盖率。
5.提供证明硬件设计与其独立性的要求
6.如果硬件设计引入了新危害,且这个危害没有被现有的安全目标覆盖,则应按照变更管理流程对它们进行危害分析和风险评估。
五.硬件设计验证
验证硬件设计与硬件安全需求的一致性和完整性
硬件设计验证方法
六.生产、运行、维护和报废
- 如果安全分析表明生产、运行、维护和报废与安全相关,则应定义其安全相关的特殊特性,这些特殊特性应包括 生产和运行的验证措以及 这些措施的接受准则。(例如一种依赖于新的传感器技术的硬件设计的安全性分析,影像或雷达传感器,可以揭示与这些传感器要求的特殊安装流程的关系。在这种情况下,这些组件的额外验证措施有必要在生产阶段进行)
- 如果对安全相关硬件要素的组装、拆卸和报废可能影响技术安全概念,则应定义这些操作的指导说明。
- 确保安全相关硬件要素的可追溯性。
- 如果维护可能影响技术安全概念,应定义安全相关硬件要素的维护说明。
五.怎样做硬件安全架构设计
我们这里直接给出一些实际的用例
具体的硬件架构设计是需要根据产品需求和产品特性去确定的,很难去统一化,所以我简单画一个示意图,这部分架构的基本元素一般是通用的。
基本硬件架构图
1.首先是低压电,KL30的输入滤波和保护,在不考虑低压备份的情况下,KL30是ECU唯一的供电输入源。
2.CAN收发器,需要CAN收发器进行与其他ECU的通信,因为目前整车网络还是以CAN和CANFD为主,有些CAN Transceiver芯片,尤其是使用CANFD时,需要使用通过SPI来进行配置。
3.TLF3558x芯片作为电源管理芯片并提供外部看门狗功能,电压输出包括1.3V的芯片内核电压,3.3V的IO电压,5V的供电电压和ADC等外设工作输入电压,最高功能安全等级为ASIL D,所以在汽车电子产品中应用广泛。
4.英飞凌的Aurix Tricore系列Tc39x是六核芯片架构,支持4核的Lockstep,最高功能安全等级ASIL D可以满足大部分传统产品的应用。
5.其他的电路包括驱动电路,采样电路,传感器等就需要针对不同的产品进行定制化匹配和调试,没有办法去统一的去展示了。
关于定性和定量的安全分析,也就是FTA和FMEA,这两个topic比较复杂也比较大,我会在后面的章节分开详细讲解。关于SBC和芯片纯技术相关的内容也会在另一个专栏慢慢分享(主打的就是一个细水长流 )
六.结语
今天关于硬件设计的分享就到这里了,硬件安全设计本身还是非常吃功力的,尤其是硬件架构设计和详细设计,所以只从功能安全角度去理解硬件设计还是非常片面的,还是需要去静下心来,了解和深入学习每个元器件的特性和特征,这样才有可能将硬件设计与功能安全融会贯通。
作者:穷困潦倒的资本家
文章来源:ADAS与ECU之吾见
推荐阅读
更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。
