前言以下是本期内容的思维导图:  1.什么是硬件设计硬件安全设计包括以下两个部分: 1.硬件架构设计:所有硬件组件以及他们彼此的相互关系 2.硬件详细设计:在电气原理图级别上,表示构成硬件组建的元器件间的相互连接 为开发同时符合硬件安全要求及所有的非安全要求的单一的硬件设计,一般来说,安全和非安全性要求应在同一开发过程中处理。 2.什么阶段完成硬件设计 3.为什么要做硬件安全设计1.按照系统设计规范和硬件安全要求设计硬件 2.验证硬件设计是否违背系统设计规范和硬件安全需求 功能安全对硬件的可靠性提出了三个指标,分别是单点故障度量,潜伏故障度量,以及随机硬件失效目标,硬件安全设计首先就需要满足这些要求,只有这样给产品提供一个安全性高、可靠性高的硬件设计。    4.硬件安全设计要求1.基本通用要求
2.硬件架构设计要求  在硬件架构设计时,应考虑安全相关硬件组件失效的非功能性原因,如果适用,可包括以下的影响因素:温度、振动、水、灰尘、电磁干扰、来自硬件架构的其它硬件组件或其所在环境的串扰。 (PS这些要求的定义本身还是很容易理解的,我就不一一解释了) 3.硬件详细设计要求
4.安全分析 1.需要进行硬件设计的安全分析,用来识别失效的原因和故障的影响  演绎分析方法包括故障树分析(FTA)、鱼骨图、可靠性分析;(其中选取一种即可,ASILC、ASILD强制要求) 归纳分析方法包括失效模式与影响分析(FMEA)、事件树分析(ETA)、马尔科夫(Markov)模型;(其中选 取一种即可,ASILA、ASILB、ASILC、ASILD均强制要求) 安全分析的目的是支持硬件设计定义,也可以用于硬件设计验证,我们后面会提到,就支持硬件设计定义的目的来说,定性分析是足够的。 2.对于每个安全相关的硬件组件或元器件,安全分析应识别以下内容: 1.安全故障 2.单点故障或残余故障 3.多点故障(在大多数情况下,分析可以限制到双点故障,但有时阶次高于2的多点故障可能显示与技术安全概念有关(例如,当执行冗余安全机制时)而识别双点故障的目的,并不是要求对每一种可能的两个硬件故障的组合进行系统的分析,但是至少要考虑从技术安全概念得出的组合(例如两个故障的组合:一个故障影响了安全相关的要素,另一个故障影响了相应的为达到或维持安全状态所需的安全机制)) 3.应具备安全机制避免单点故障有效性的证据
4.应具备安全机制避免潜伏故障的有效性的证据。
5.提供证明硬件设计与其独立性的要求 6.如果硬件设计引入了新危害,且这个危害没有被现有的安全目标覆盖,则应按照变更管理流程对它们进行危害分析和风险评估。 5.硬件设计验证 验证硬件设计与硬件安全需求的一致性和完整性  6.生产、运行、维护和报废
5.怎样做硬件安全架构设计我们这里直接给出一些实际的用例 具体的硬件架构设计是需要根据产品需求和产品特性去确定的,很难去统一化,所以我简单画一个示意图,这部分架构的基本元素一般是通用的。  1.首先是低压电,KL30的输入滤波和保护,在不考虑低压备份的情况下,KL30是ECU唯一的供电输入源。 2.CAN收发器,需要CAN收发器进行与其他ECU的通信,因为目前整车网络还是以CAN和CANFD为主,有些CAN Transceiver芯片,尤其是使用CANFD时,需要使用通过SPI来进行配置。 3.TLF3558x芯片作为电源管理芯片并提供外部看门狗功能,电压输出包括1.3V的芯片内核电压,3.3V的IO电压,5V的供电电压和ADC等外设工作输入电压,最高功能安全等级为ASIL D,所以在汽车电子产品中应用广泛。 4.英飞凌的Aurix Tricore系列Tc39x是六核芯片架构,支持4核的Lockstep,最高功能安全等级ASIL D可以满足大部分传统产品的应用。 5.其他的电路包括驱动电路,采样电路,传感器等就需要针对不同的产品进行定制化匹配和调试,没有办法去统一的去展示了。 关于定性和定量的安全分析,也就是FTA和FMEA,这两个topic比较复杂也比较大,我会在后面的章节分开详细讲解。关于SBC和芯片纯技术相关的内容也会在另一个专栏慢慢分享(主打的就是一个细水长流 ) 6.结语今天关于硬件设计的分享就到这里了,硬件安全设计本身还是非常吃功力的,尤其是硬件架构设计和详细设计,所以只从功能安全角度去理解硬件设计还是非常片面的,还是需要去静下心来,了解和深入学习每个元器件的特性和特征,这样才有可能将硬件设计与功能安全融会贯通。 |
|
|
