17、智能驾驶硬件架构安全设计一般原则

这段文字详细描述了硬件安全架构设计的一系列要求和原则，涵盖了从基本设计原则到具体实现细节和验证要求：

一、基本设计原则

1. 平衡冗余与复杂度：硬件安全架构需平衡硬件冗余设计和故障检测回路以提高容错能力，同时降低硬件复杂度以避免复杂接口和系统失效。

二、硬件容错设计覆盖的故障类型

1. 内部器件故障：包括恒态和瞬态故障。
2. 外部接口故障：涉及数字IO、模拟AD、网络接口和其他总线接口。
3. 外部环境干扰：电压浮动、EMC、振动和温湿度变化。
4. 人机失效：防范操作和维护人员的失误。
5. 外部传感器故障：摄像头、激光雷达、毫米波雷达、IMU和GNSS等。

三、故障覆盖率要求

硬件检测措施需达到与ASIL（汽车安全完整性等级）等级一致的单点故障覆盖率和潜伏故障覆盖率要求。

四、多通道设计

高阶自动驾驶系统应采用多通道设计，并定义单通道故障后的紧急运行容错时间间隔EOTTI或降级模式下的ASIL等级要求。

五、故障处理与安全导向措施

明确检测到故障后的安全导向措施，对于无法在控制器级别定义的安全侧，应确保故障通知给应用层的方式的安全性。

六、性能要求分配

在架构元素中分配与安全相关的性能要求（故障错误时间间隔FTTI），明确各安全部件的故障检测、处理和潜伏故障检错间隔要求。

七、可靠性、可维护性和可用性设计

考虑接口的紧固、器件降额、接地、过压浪涌保护等设计，以提高系统的可靠性、可维护性和可用性。

八、通信区分

区分系统内的安全相关通信和非安全相关通信，避免不同安全等级的通信互相干扰。

九、避错设计原则

遵循清晰分层、模块化、结构化设计原则，采用合适的设计规范、形式化或半形式化开发工具，简化设计，提高可测试性，并采用经过广泛证明的元器件和模块。

十、ASIL等级分配原则

1. 硬件模块的ASIL等级取决于其所继承的最高安全需求等级。
2. 可通过冗余设计将高ASIL等级要求分配到低ASIL等级要求的硬件模块，但需满足功能和物理独立性。
3. 不同ASIL等级的硬件模块间接口需提供功能、物理和电气隔离措施。
4. 无法保证独立性时，应按受影响的最高的ASIL等级要求硬件模块。

十一、可编程半导体芯片要求

对于分配了ASIL等级的可编程半导体芯片，应提供符合ISO 26262对应安全等级要求的证据，并满足芯片作为SEooC（系统级安全目标到组件级安全要求）输出的外部运行限制条件。

十二、硬件安全架构设计证据要求

1. 文档需满足可理解性、明确性、一致性、可行性、可验证性、必要性和完整性原则。
2. 硬件架构安全设计应有充分的验证证据。
3. 硬件安全设计应与系统设计危害分析、可依赖型危害分析、失效模式影响分析中识别的硬件相关安全机制形成追溯关系。

综上所述，硬件安全架构设计需综合考虑多个方面，确保系统在各种故障和干扰下仍能安全运行，满足ASIL等级要求，并提供充分的验证证据。