最新资讯
在 ISO 26262 标准框架下,汽车功能安全的硬件安全架构设计是确保系统可靠性和安全性的核心环节。硬件设计主要分为硬件架构设计和硬件详细设计两个阶段。
以下是具体的硬件安全架构设计方法与关键考量:
硬件架构设计主要涉及硬件组件及其相互关系的定义,需遵循以下基本原则:
模块化与简单性:架构应具备适当的粒度水平和简单性,以降低系统性故障的风险。
ASIL 等级继承与安全分解:硬件要素的 ASIL(汽车安全完整性)等级应不低于其子要素的等级。同时,需在架构设计中应用安全分解原则,通过冗余或跨组件校验等方式降低单一组件的安全要求。
非功能性因素考量:必须充分考虑温度、振动、湿度、灰尘及电磁干扰(EMI)等外部环境应力对硬件元器件失效的影响,采用鲁棒性设计和保守规范来应对。
为了检测、诊断和控制系统内可能发生的危险故障,架构中需集成多种安全机制:
内部失效控制与外部防护:引入看门狗(内狗/外狗)、定时器等内部监控机制,以及 ECU 输入开路保护等外部失效防护措施。
软硬件接口(HSI)设计:明确存储器、总线接口(CAN/LIN)、A/D 转换器、I/O 口及多路转换器等接口的安全需求,确保软硬件协同满足安全目标。
冗余与容错架构:
双核锁步(Lockstep):适用于 EPS 转向控制等高实时性场景,故障检测率可达 99.9%。
三模冗余(TMR):常用于 ESP 制动系统等动力系统,通过多数表决机制实现容错,故障检测率高达 99.99%。
混合冗余:针对自动驾驶决策模块等复杂场景,结合多种冗余手段提供极高的安全保障。
在进行芯片选型时,并非所有组件都必须选用高 ASIL 等级的功能安全芯片,而是可以通过合理的系统设计来实现高级别的安全目标:
高 ASIL 芯片直用:对于直接承担高 ASIL 关断需求的核心部件(如电驱系统中的逆变器驱动芯片),需选用继承相应 ASIL 等级的功能安全芯片,并确保其提供基础失效率、失效模式及安全手册等鉴定材料。
QM 芯片的系统级组合:通过合理设计,使用质量管理(QM)级别的组件同样可实现高 ASIL 目标。例如,在电机相电流采样中,可采用多个 QM 传感器芯片配合 MCU 内相互独立的 ADC 组进行交叉校验;同时在硬件 Layout 上独立走线,并在软件层面实施多级合理性检查(如信号范围、求和校验、偏置连续检查等),从而整体达到 ASIL D 的要求。
架构设计完成后,必须进行严格的安全分析以验证其有效性:
定性与定量分析:运用 FMEA(故障模式与影响分析)、FTA(故障树分析)以及 FMEDA 等工具,识别单点故障(SPI)、残余故障和潜在故障(LFM)。
架构指标计算:依据标准数据库(如 IEC TR62380)计算并评估三个核心度量指标:SPFM(单点故障度量)、LFM(潜伏故障度量)和 PMHF(随机硬件失效概率度量),确保其符合对应 ASIL B~D 的目标值要求。
相关性失效分析(DFA):通过分析潜在原因或诱发因素,确认设计中充分实现了元素间的独立性(无级联故障和共因故障)或免于干扰(FFI),防止多重故障导致违背安全目标。
推荐阅读:
亚远景-拒绝“为了评估而评估”:如何让 ASPICE 真正融入日常开发?
亚远景-ASPICE在供应链管理中的角色:如何利用标准评估和选择供应商
亚远景-从仿真测试到实车验证:ISO/PAS 8800 的测试策略
亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结
推荐服务:
点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台
