高級別自動駕駛域控制器硬件通用設(shè)計規(guī)范（2023版）

高級別自動駕駛域控制器硬件通用設(shè)計規(guī)范單元、散熱單元、結(jié)構(gòu)單元、安全與冗余單元等華、劉玥、湯自寧、鐘成均、黃成凱、王俊明、邢 12.術(shù)語和定義 13.縮略詞 24.高級別自動駕駛需求分析 44.1.高級別自動駕駛定義 44.1.1.L3級駕駛自動化及技術(shù)要求 44.1.2.L4級駕駛自動化及技術(shù)要求 44.1.3.L5級駕駛自動化及技術(shù)要求 54.2.高級別自動駕駛場景分析 54.2.1.自動駕駛運行場景 54.2.2.自動駕駛設(shè)計運行條件 54.3.高級別自動駕駛系統(tǒng)技術(shù)要求 64.4.高級別自動駕駛域控制器技術(shù)要求 64.4.1.高級別自動駕駛域控制器通用要求 64.4.2.算力 74.4.3.存儲 74.4.4.控制器內(nèi)部通信總線 84.4.5.接口 84.4.6.連接器 84.4.7.電源 94.4.8.功耗 94.4.9.工作模式與啟動 94.4.10.高精地圖及定位 104.4.11.自動駕駛數(shù)據(jù)記錄 104.4.12.時間同步 104.4.13.軟件升級 104.4.14.結(jié)構(gòu)與散熱 104.4.15.工作溫度 104.4.16.保護與診斷 104.4.17.生產(chǎn)和測試 114.4.18.質(zhì)量及可靠性 114.4.19.材料回收 114.4.20.法規(guī)要求 115.高級別自動駕駛域控制器硬件安全要求 115.1.安全原則及標(biāo)準(zhǔn)規(guī)范 115.1.1.硬件架構(gòu)安全設(shè)計一般原則 115.2.功能安全要求 135.2.1.域控制器系統(tǒng)功能安全目標(biāo)及要求 135.2.2.域控制器內(nèi)部安全分析及要求 175.2.3.面向高級別自動駕駛域控制器硬件的安全要求 235.3.信息安全要求 275.3.1.芯片外部接口要求 275.3.2.防側(cè)信道攻擊要求 275.3.3.硬件安全模塊要求 285.3.4.PCB安全設(shè)計要求 286.高級別自動駕駛控制器硬件架構(gòu) 296.1.異構(gòu)硬件總體設(shè)計 296.1.1.概述 296.1.2.功能架構(gòu) 296.1.3.器件選型要求 316.2.電源設(shè)計 336.2.1.電源輸入魯棒性設(shè)計 336.2.2.電源監(jiān)控與安全設(shè)計 376.3.低速通信設(shè)計 386.3.1.常用低速通信總線 386.3.2.CAN總線 386.3.3.LIN總線 406.3.4.DSI3 416.3.5.GPIO 436.4.高速通信設(shè)計 466.4.1.視頻輸入輸出 466.4.2.車載以太網(wǎng) 506.4.3.PCIE總線 516.4.4.USB總線 526.5.計算單元設(shè)計 536.5.1.架構(gòu)設(shè)計 536.5.2.核心參數(shù)說明 536.6.存儲單元設(shè)計 556.6.1.DDR 556.6.2.EEPROM 566.6.3.Flash 576.7.系統(tǒng)熱設(shè)計 626.7.1.熱環(huán)境評估 626.7.2.散熱系統(tǒng)搭建 636.7.3.熱仿真設(shè)計 696.8.控制器結(jié)構(gòu)設(shè)計 706.8.1.電路板結(jié)構(gòu)設(shè)計 706.8.2.殼體結(jié)構(gòu)設(shè)計 726.8.3.結(jié)構(gòu)力學(xué)仿真分析 736.9.安全單元設(shè)計 736.9.1.硬件安全完整性診斷技術(shù) 746.9.2.硬件冗余設(shè)計 776.9.3.硬件功能安全驗證 807.設(shè)計驗證要求指南 817.1.驗證條件 817.2.電氣性能驗證 817.3.機械性能驗證 827.4.氣候負(fù)荷驗證 827.5.化學(xué)負(fù)荷驗證 837.6.防塵防水驗證 837.7.耐久性驗證 847.8.電磁兼容驗證 84 858.1.附錄1-自動駕駛典型功能分解表 858.2.附錄2-自動駕駛設(shè)計運行條件最小元素 868.3.附錄3-電性能 929.參考文獻與引用標(biāo)準(zhǔn) 10111.總則本規(guī)范適用乘用車高級別自動駕駛控制器的硬件通用設(shè)計。給出了高級別自動駕駛域控制器功能需求、安全要求、通用硬件設(shè)計以及試驗要求等技術(shù)參考。2.術(shù)語和定義下列術(shù)語和定義適用于本文件.動態(tài)駕駛?cè)蝿?wù)dynamicdrivingtask；DDT除策略性功能外的車輛駕駛所需的感知、決策和執(zhí)行等行為，包括但不限于：——車輛橫向運動控制；——車輛縱向運動控制；——目標(biāo)和事件探測與響應(yīng)；——駕駛決策；——車輛照明及信號裝置控制；注1：策略性功能入導(dǎo)航、行程規(guī)劃、目的地和路徑的選擇等。注2：動態(tài)駕駛?cè)蝿?wù)一般由駕駛員、駕駛自動化系統(tǒng)或由兩者共同完成。2.2.駕駛自動化drivingautomation車輛以自動的方式持續(xù)的執(zhí)行部分或者全部動態(tài)駕駛?cè)蝿?wù)的行為。2.3.駕駛自動化系統(tǒng)drivingautomationsystem由實現(xiàn)駕駛自動化的硬件和軟件所共同組成的系統(tǒng)。2.4.駕駛自動化功能drivingautomationfeature駕駛自動化系統(tǒng)在特定的設(shè)計運行調(diào)價內(nèi)執(zhí)行部分或者全部動態(tài)駕駛?cè)蝿?wù)的能力。注：一個駕駛自動化系統(tǒng)可實現(xiàn)一個或多個駕駛自動化功能，每個功能與具體的駕駛自動化等級和設(shè)計運行條件關(guān)聯(lián)。為了準(zhǔn)確描述駕駛自動化系統(tǒng)的能力，需要同時明確其駕駛自動化等級和設(shè)計運行條件。2.5.最小風(fēng)險狀態(tài)minimalriskcondition：MRC車輛事故風(fēng)險可接受的狀態(tài)。22.6.最小風(fēng)險策略minimalriskmaneuver：MRM駕駛自動化系統(tǒng)無法繼續(xù)執(zhí)行動態(tài)駕駛?cè)蝿?wù)時，所采取的使車輛達到最小風(fēng)險狀態(tài)的措施。2.7.動態(tài)駕駛?cè)蝿?wù)后援dynamicdrivingtaskfallback當(dāng)發(fā)生即將超出設(shè)計運行范圍、駕駛自動化系統(tǒng)失效或車輛其他系統(tǒng)失效等不滿足設(shè)計運行條件的情況時，由用戶接管或由駕駛自動化系統(tǒng)執(zhí)行最小風(fēng)險策略的后備支援行為。2.8.設(shè)計運行范圍operationaldesigndomain：ODD駕駛自動化系統(tǒng)設(shè)計時確定干的適用于其功能運行的外部環(huán)境條件。注：典型的外部環(huán)境條件有道路、交通、天氣、光照等。2.9.設(shè)計運行條件operationaldesigncondition：ODC駕駛自動化系統(tǒng)設(shè)計時確定的適用于其功能運行的各類條件的總成，包括設(shè)計運行范圍、車輛狀態(tài)、駕乘人員狀態(tài)及其他必要條件。2.10.介入請求requesttointervene駕駛自動化系統(tǒng)請求動態(tài)駕駛?cè)蝿?wù)后援用戶執(zhí)行接管的通知。接管takeover動態(tài)駕駛?cè)蝿?wù)后援用戶響應(yīng)介入請求，從駕駛自動化系統(tǒng)獲得車輛的駕駛權(quán)的行為。駕駛自動化系統(tǒng)失效drivingautomationsystemfailure駕駛自動化系統(tǒng)發(fā)生故障導(dǎo)致其無法可靠的執(zhí)行部分或全部動態(tài)駕駛?cè)蝿?wù)。示例：傳感器故障等。3.縮略詞下列縮略語適用于本文件。DDT：動態(tài)駕駛?cè)蝿?wù)（DynamicDrivingTask）ODC：設(shè)計運行條件（OperationalDesignCondition）ODD：設(shè)計運行范圍（OperationalDesignDomain）3DSSAD：自動駕駛數(shù)據(jù)記錄系統(tǒng)（DataStorageSystemforAutomatedDriving）ADAS：高級駕駛輔助系統(tǒng)(AdvancedDriverAssistantSystems)SoC：片上系統(tǒng)(SystemonChip)MCU：微處理器(MicrocontrollerUnit)EMI：電磁干擾（ElectromagneticInterference）TVS：瞬態(tài)二極管（TransientVoltageSuppressor）MOS：MOSFET的縮寫半導(dǎo)體場效應(yīng)晶體管DDR：雙倍速率同步動態(tài)隨機存儲器（DoubleDataRateSDRAM）EEPROM：帶電可擦可編程只讀存儲器UFS：通用閃存（UniversalFlashStorage）Flash：快閃存儲器,一種非易失性存儲器CAN：控制器域網(wǎng)（ControllerAreaNetwork）LIN：一種低成本的串行通訊網(wǎng)絡(luò)(LocalInterconnectNetwork)Flexray：一種用于汽車的高速、可確定性的，具備故障容錯能力的總線技術(shù)DSI3：一個主從式，一對多異步單線電壓電流型通訊GPIO：通用型之輸入輸出（General-purposeinput/output）OPENAlliance：一個基于以太網(wǎng)技術(shù)應(yīng)用于汽車載體的聯(lián)盟組織SCL：串行時鐘總線（SerialClock）AI：人工神經(jīng)網(wǎng)絡(luò)（ArtificialNeuralNetwork）GPU：圖形處理器（graphicsprocessingunit）DSP：數(shù)字音頻處理器（DigitalSignalProcessing）EOTTI:緊急運行容錯時間間隔(EmergencyOperationToleranceTimeInterval)SEooC：獨立于環(huán)境的安全要素(SafetyElementoutofContext)ADCU：自動駕駛域控制器（AutonomousDrivingControlUnit）SMU：MCU安全管理單元（SafetyManagementUnit）44.高級別自動駕駛需求分析4.1.高級別自動駕駛定義本規(guī)范所述高級別自動駕駛，為GB/T40429-2021《汽車駕駛自動化分級》中定義的L3級、L4級、L5級自動化車輛。4.1.1.L3級駕駛自動化及技術(shù)要求L3級駕駛自動化（有條件自動駕駛，conditionallyautomateddriving）系統(tǒng)在其設(shè)計運行條件下持續(xù)地執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)。對于L3級駕駛自動化，動態(tài)駕駛?cè)蝿?wù)后援用戶以適當(dāng)?shù)姆绞綀?zhí)行接管。L3級駕駛自動化系統(tǒng)應(yīng)滿足以下要求：(1)僅允許在其設(shè)計運行條件下激活；(2)激活后在其設(shè)計運行條件下執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)；(3)識別是否即將不滿足設(shè)計運行范圍，并在即將不滿足設(shè)計運行范圍時，及時向動態(tài)駕駛?cè)蝿?wù)后援用戶發(fā)出介入請求；(4)識別駕駛自動化系統(tǒng)失效，并在發(fā)生駕駛自動化系統(tǒng)失效時，及時向動態(tài)駕駛?cè)蝿?wù)后援用戶發(fā)出介入請求；(5)識別動態(tài)駕駛?cè)蝿?wù)后援用戶的接管能力，并在其接管能力即將不滿足要求時，發(fā)出介入請求；(6)在發(fā)出介入請求后，如果動態(tài)駕駛?cè)蝿?wù)后援用戶未響應(yīng)，適時采取減緩車輛風(fēng)險的措施；(7)當(dāng)用戶請求駕駛自動化系統(tǒng)退出時，立即解除系統(tǒng)控制權(quán)。4.1.2.L4級駕駛自動化及技術(shù)要求L4級駕駛自動化（高度自動駕駛，highlyautomateddriving）系統(tǒng)在其設(shè)計運行條件下持續(xù)地執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)并自動執(zhí)行最小風(fēng)險策略（最小風(fēng)險策略Minimalriskmaneuver）。對于L4級駕駛自動化，系統(tǒng)發(fā)出介入請求時，用戶可不做響應(yīng)，系統(tǒng)具備自動達到最小風(fēng)險狀態(tài)的能力。某些具備L4級駕駛自動化系統(tǒng)的車輛無人工駕駛功能，如園區(qū)接駁車等。L4級駕駛自動化系統(tǒng)應(yīng)滿足以下要求：(1)僅允許在其設(shè)計運行條件下激活；(2)激活后在其設(shè)計運行條件下執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)；(3)識別是否即將不滿足設(shè)計運行范圍；(4)識別駕駛自動化系統(tǒng)失效和車輛其它系統(tǒng)失效；(5)識別駕乘人員狀態(tài)是否符合其設(shè)計運行條件（如有）；(6)在發(fā)生下列情況之一且用戶未響應(yīng)介入請求時，自動執(zhí)行最小風(fēng)險策略；a.即將不滿足其設(shè)計運行范圍；b.駕駛自動化系統(tǒng)失效和車輛其它系統(tǒng)失效；c.駕乘人員狀態(tài)不符合其設(shè)計運行條件；d.用戶要求實現(xiàn)最小風(fēng)險狀態(tài)。(7)除下列情形外，不得解除系統(tǒng)控制權(quán)：a.已達到最小風(fēng)險狀態(tài)；b.駕駛員在執(zhí)行動態(tài)駕駛?cè)蝿?wù)。(8)當(dāng)用戶請求駕駛自動化系統(tǒng)退出時，解除系統(tǒng)控制權(quán)，如果存在安全風(fēng)險可暫緩解54.1.3.L5級駕駛自動化及技術(shù)要求L5級駕駛自動化（完全自動駕駛，fullyautomateddriving）系統(tǒng)在任何可行使條件下持續(xù)地執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)并自動執(zhí)行最小風(fēng)險策略。對于L5級駕駛自動化，系統(tǒng)發(fā)出介入請求時，用戶可不做響應(yīng)，系統(tǒng)具備自動達到最小風(fēng)險狀態(tài)的能力。L5級駕駛自動化在車輛可行使環(huán)境下沒有設(shè)計運行范圍的限制（商業(yè)和法規(guī)因素等限制除外）。L5級駕駛自動化系統(tǒng)應(yīng)滿足以下要求：(1)無設(shè)計運行范圍限制；(2)僅允許在其設(shè)計運行條件下激活；(3)激活后在其設(shè)計運行條件下執(zhí)行全部動態(tài)駕駛?cè)蝿?wù)；(4)識別駕駛自動化系統(tǒng)失效和車輛其它系統(tǒng)失效；(5)識別駕乘人員狀態(tài)是否符合其設(shè)計運行條件（如有）；(6)在發(fā)生下列情況之一且用戶未響應(yīng)介入請求時，自動執(zhí)行最小風(fēng)險策略；a.駕駛自動化系統(tǒng)失效和車輛其它系統(tǒng)失效；b.用戶要求實現(xiàn)最小風(fēng)險狀態(tài)。(7)除下列情形外，不得解除系統(tǒng)控制權(quán)：a.已達到最小風(fēng)險狀態(tài)；b.駕駛員在執(zhí)行動態(tài)駕駛?cè)蝿?wù)。(8)當(dāng)用戶請求駕駛自動化系統(tǒng)退出時，解除系統(tǒng)控制權(quán)，如果存在安全風(fēng)險可暫緩解4.2.高級別自動駕駛場景分析4.2.1.自動駕駛運行場景按照智能網(wǎng)聯(lián)汽車自動駕駛功能要求，自動駕駛可劃分為高速公路、園區(qū)、城區(qū)、城郊和泊車五大場景。各自動駕駛場景下，車輛自動駕駛系統(tǒng)所承擔(dān)的功能主要包括識別自動駕駛運行條件、感知判斷、車輛定位、路徑規(guī)劃、車輛運動控制等。4.2.2.自動駕駛設(shè)計運行條件設(shè)計運行條件（ODC）指設(shè)計時確定的自動駕駛系統(tǒng)可以安全啟動和運行的各類條件的總稱，包括設(shè)計運行范圍（ODD）、車輛狀態(tài)、駕乘人員狀態(tài)及其他必要條件.設(shè)計運行范圍設(shè)計運行范圍（ODD）是自動駕駛系統(tǒng)運行的外部環(huán)境，分為“靜態(tài)實體”、“環(huán)境條件”和“動態(tài)實體”屬性，設(shè)計運行范圍應(yīng)該包括但不限于附錄7.1的元素集合。其中，“靜態(tài)實體”是指運行環(huán)境下狀態(tài)不改變的實體，如：道路、交通燈等；“環(huán)境條件”包括天氣、大氣條件和信息環(huán)境；“動態(tài)實體”是指運行時間內(nèi)狀態(tài)發(fā)生變化的實體，如交通情況、道路使用者等。6.駕乘人員狀態(tài)駕乘人員主要分為駕駛員/動態(tài)駕駛?cè)蝿?wù)后援用戶和乘客。自動駕駛系統(tǒng)安全啟動和運行時要求動態(tài)駕駛?cè)蝿?wù)后援用戶的狀態(tài)滿足及時接管的條件，同時要求駕乘人員的狀態(tài)達到一定的安全條件。.車輛狀態(tài)正常運行的車輛狀態(tài)是自動駕駛系統(tǒng)啟動和運行的前提條件之一。車輛狀態(tài)包括激活速度范圍和功能狀態(tài)?！凹せ钏俣确秶敝饕亲詣玉{駛系統(tǒng)能夠開啟的速度，通過識別車輛是否達到激活速度范圍來判斷車輛是否能夠開啟?！肮δ軤顟B(tài)”為自動駕駛系統(tǒng)安全啟動、運行前需要進行自檢的功能模塊達到的狀態(tài)，包括系統(tǒng)的軟硬件功能狀態(tài)，要求該自動駕駛功能狀態(tài)能夠滿足自動駕駛系統(tǒng)安全啟動和運行的條件要求。4.3.高級別自動駕駛系統(tǒng)技術(shù)要求高級別自動駕駛系統(tǒng)應(yīng)符合國標(biāo)《智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)通用技術(shù)要求》。4.4.高級別自動駕駛域控制器技術(shù)要求4.4.1.高級別自動駕駛域控制器通用要求為實現(xiàn)高級別自動駕駛功能，域控制器需滿足如下通用要求：(1)域控制器應(yīng)支持設(shè)計運行條件的持續(xù)識別并發(fā)出介入請求，如不能覆蓋，需要由系統(tǒng)中其它模塊實現(xiàn)；(2)域控制器感知能力應(yīng)覆蓋足夠的范圍，支持其安全且合理地執(zhí)行全部DDT；(3)域控制器至少應(yīng)能確定自車位置、探測并響應(yīng)周圍環(huán)境中的目標(biāo)和事件；(4)域控制器應(yīng)能探測目標(biāo)的位置以及動態(tài)目標(biāo)的移動速度；(5)域控制器應(yīng)支持避免與車輛前方無遮擋的行人發(fā)生碰撞，若因行人行為導(dǎo)致無法避免碰撞，應(yīng)盡可能減緩碰撞；(6)域控制器應(yīng)至少探測由于前方車輛減速、車輛切入或突然出現(xiàn)的障礙物而導(dǎo)致碰撞的風(fēng)險，并應(yīng)自動執(zhí)行適當(dāng)?shù)目刂撇呗砸宰畲笙薅鹊販p少對車輛駕乘人員和其他道路使用者的安全風(fēng)險；(7)域控制器應(yīng)支持控制車輛與其他道路使用者保持足夠的安全距離，若其他道路使用者的行為導(dǎo)致當(dāng)前距離無法滿足安全距離要求，則應(yīng)執(zhí)行適當(dāng)?shù)目刂撇呗砸越档桶踩L(fēng)險，在后續(xù)合適時機調(diào)整保持安全距離；(8)域控制器應(yīng)支持檢測駕駛員是否執(zhí)行干預(yù)操作，并發(fā)出干預(yù)操作的人機交互信號；(9)域控制器應(yīng)支持合理控制車輛的照明和光信號裝置，包括但不限于轉(zhuǎn)向信號燈、危險警告信號、制動燈。(10)域控制器應(yīng)支持最小風(fēng)險策略的實現(xiàn)，如不能覆蓋，需要由系統(tǒng)中其它模塊實現(xiàn)；(11)域控制器應(yīng)支持激活系統(tǒng)控制權(quán)的實現(xiàn)；(12)域控制器應(yīng)支持解除系統(tǒng)控制權(quán)的實現(xiàn)；(13)域控制器應(yīng)支持持續(xù)自檢，以檢測硬件的失效并確認(rèn)硬件可用；7(14)域控制器應(yīng)支持識別恢復(fù)人工駕駛所需的裝置或系統(tǒng)的狀態(tài)；(15)域控制器應(yīng)支持自動駕駛數(shù)據(jù)記錄實現(xiàn)，并滿足自動駕駛數(shù)據(jù)記錄系統(tǒng)要求；(16)域控制器應(yīng)滿足汽車整車信息安全實現(xiàn)，并滿足汽車整車信息安全技術(shù)要求；(17)域控制器應(yīng)滿足汽車整車功能安全實現(xiàn)，并滿足本規(guī)范中功能安全技術(shù)要求；(18)域控制器應(yīng)支持發(fā)出交互信息；(19)域控制器應(yīng)支持系統(tǒng)激活和退出的人機交互功能的實現(xiàn)；(20)域控制器不應(yīng)導(dǎo)致車輛失去控制出現(xiàn)傾覆等；(21)域控制器應(yīng)支持系統(tǒng)狀態(tài)提示的人機交互功能的實現(xiàn)；(22)在可合理預(yù)見的用戶誤用條件下，域控制器應(yīng)具備自保護功能；(23)域控制器應(yīng)考慮在平臺的使用壽命內(nèi)的可擴展性；(24)域控制器應(yīng)支持A/B雙分區(qū)，在任意分區(qū)運行時，支持對另一備份分區(qū)的升級。4.4.2.算力域控制器硬件算力需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件算力需滿足章節(jié)3.4.1通用要求；(2)域控制器硬件算力類型包括但不限于如下類型a.AI算力b.邏輯算力c.GPU算力d.DSP算力(3)域控制器硬件算力用途包括但不限于如下類型a.感知運算b.融合運算c.預(yù)測篩選運算d.規(guī)劃運算e.定位運算f.地圖運算g.接渲染運算h.車控運算4.4.3.存儲域控制器硬件存儲需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件存儲需滿足章節(jié)3.4.1通用要求；(2)域控制器硬件存儲類型包括但不限于如下類型：a.片內(nèi)RAMb.片外RAMc.片內(nèi)EEPROMd.片外EEPROMe.片內(nèi)Flashf.片外Flashg.EMMCh.DDRi.UFS8(3)域控制器硬件存儲數(shù)據(jù)類型包括但不限于如下類型：a.數(shù)據(jù)存儲b.程序存儲4.4.4.控制器內(nèi)部通信總線域控制器通信總線帶寬需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件帶寬需滿足章節(jié)3.4.1通用要求；(2)域控制器硬件通信總線類型包括但不限于如下類型a.PCIeb.MIPIc.XFI/SMII/RMII/SGMII/RGMIId.SPI/IICe.UARTf.GPIO信號(3)域控制器硬件通信用途包括但不限于如下類型a.傳感器數(shù)據(jù)傳輸b.計算數(shù)據(jù)傳輸c.控制數(shù)據(jù)傳輸d.通用IO數(shù)據(jù)傳輸4.4.5.接口域控制器硬件接口需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件接口需滿足章節(jié)3.4.1硬件通用要求；(2)域控制器硬件接口類型包括但不限于如下類型a.FPDLINK/GMSLb.車載以太網(wǎng)c.CANFD/CAN/UART/DSId.GPIO信號(3)域控制器硬件接口需滿足但不限于如下要求a.傳感器數(shù)據(jù)傳輸b.計算數(shù)據(jù)傳輸c.控制數(shù)據(jù)傳輸d.通用IO數(shù)據(jù)傳輸e.電源傳輸f.控制器硬件喚醒4.4.6.連接器域控制器硬件連接器需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件連接器需滿足章節(jié)3.4.1通用要求；(2)域控制器硬件連接器類型包括但不限于如下類型a.視頻FAKRA連接器b.高速HSD連接器9c.車載以太網(wǎng)連接器d.通用連接器(3)域控制器硬件連接器需滿足但不限于如下要求a.滿足域控制器防護要求b.滿足數(shù)據(jù)通信帶寬要求c.滿足通道數(shù)量要求d.滿足車規(guī)應(yīng)用要求e.滿足通流能力要求f.滿足工作電壓要求g.滿足工作溫度要求h.滿足防錯安裝要求i.滿足可靠性驗證要求4.4.7.電源域控制器硬件電源需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件電源需滿足章節(jié)3.4.1硬件通用要求；(2)域控制器硬件電源性能需滿足但不限于如下要求a.外部雙電源供電，供電電流滿足域控制器極限工況要求b.反向耐受電壓：-14V，控制器不工作，不損壞c.低電壓：＜6.5V，控制器無功能，無錯誤動作d.通信電壓范圍：6.5V~18V，CAN通信正常e.正常工作電壓范圍：9V~16V,控制器全功能工作，f.額定工作電壓：12V,控制器全功能工作，g.過電壓：18V,運行1小時@Tmax-20℃,控制器全功能工作，h.跨接啟動電壓：24V,運行60s@Troom，控制器功能降級，無損壞i.電源線參考靜態(tài)電流：≤0.5mA4.4.8.功耗域控制器硬件功耗需滿足但不限于如下要求：(1)域控制器極限功耗應(yīng)滿足整車配電要求(2)域控制器散熱性能需滿足極限功耗要求(3)域控制器需進行低功耗設(shè)計，降低硬件功耗4.4.9.工作模式與啟動域控制器硬件工作模式與啟動需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件工作模式與啟動需滿足章節(jié)3.4.1通用要求；(2)域控制器硬件工作模式與啟動需滿足但不限于如下要求a.域控制器硬件需支持下電模式、待機模式、激活模式、最小風(fēng)險策略模式等b.域控制器硬件需支持MCU系統(tǒng)啟動時間≤100ms（參考值）c.域控制器硬件需支持SOC系統(tǒng)啟動時間≤5s（參考值）4.4.10.高精地圖及定位域控制器硬件高精地圖及定位需支撐高級別自動駕駛功能實現(xiàn)，滿足如下要求：(1)域控制器硬件高精地圖與定位需滿足章節(jié)3.4.1通用要求；(2)域控制器硬件高精地圖及定位能夠滿足但不限于如下要求a.域控制器硬件能夠集成所需的開放道路高精地圖和停車場高精地圖b.域控制器硬件能夠支持高精地圖引擎所需的硬件資源c.域控制器硬件能夠支持高精定位，并支持RTK功能4.4.11.自動駕駛數(shù)據(jù)記錄域控制器硬件需支持自動駕駛數(shù)據(jù)記錄功能實現(xiàn)《智能網(wǎng)聯(lián)汽車自動駕駛數(shù)據(jù)記錄系統(tǒng)》的要求。4.4.12.時間同步域控制器硬件需支持實現(xiàn)多傳感器時間同步功能實現(xiàn)，時間同步誤差<1ms，用于融合、定位等應(yīng)用。4.4.13.軟件升級域控制器硬件需支持軟件升級功能實現(xiàn)，并滿足國標(biāo)《汽車軟件升級通用技術(shù)要求》。4.4.14.結(jié)構(gòu)與散熱域控制器硬件結(jié)構(gòu)與散熱需滿足但不限于如下要求：(1)域控制器硬件結(jié)構(gòu)需滿足整車布置尺寸限制(2)域控制器硬件結(jié)構(gòu)需滿足防護等級要求(3)域控制器硬件結(jié)構(gòu)需考慮輕量化設(shè)計(4)域控制器硬件結(jié)構(gòu)需滿足整車固定和安裝要求(5)域控制器硬件結(jié)構(gòu)需滿足噪聲、可靠性及壽命等要求(6)域控制器硬件散熱需滿足最大功耗要求(7)域控制器硬件散熱需滿足整車?yán)鋮s參數(shù)匹配要求(8)域控制器硬件散熱不可對其它控制器產(chǎn)生額外的熱負(fù)荷4.4.15.工作溫度域控制器硬件工作溫度需滿足如下要求：(1)工作溫度范圍：-40℃~85℃(2)存儲溫度范圍：-40℃~95℃4.4.16.保護與診斷域控制器硬件保護功能需滿足但不限于如下要求：(1)對電源短路保護(2)對地短路保護(3)靜電保護(4)反接保護(5)過壓保護(6)域控制器硬件需支持診斷功能實現(xiàn)，并需滿足但不限于如下要求(7)對外接口診斷：對電源短路診斷、對地短路診斷、開路診斷(8)內(nèi)部電路診斷：電源監(jiān)控診斷、過溫診斷、數(shù)據(jù)有效性診斷、芯片工作狀態(tài)診斷等4.4.17.生產(chǎn)和測試域控制器硬件需滿足生產(chǎn)和測試的如下要求：(1)域控制器硬件電路需滿足可制造性的要求(2)域控制器硬件結(jié)構(gòu)需滿足可制造性的要求(3)域控制器硬件需滿足可裝配性的要求(4)域控制器硬件電路需滿足可測試性的要求(5)域控制器硬件結(jié)構(gòu)需滿足可測試性的要求4.4.18.質(zhì)量及可靠性域控制器硬件必須滿足約定的質(zhì)量目標(biāo)，推薦在中國環(huán)境條件下使用10年/30萬公里。4.4.19.材料回收域控制器硬件需滿足材料回收的如下要求：(1)應(yīng)選擇適合回收利用的材料，滿足國家有關(guān)材料回收的相關(guān)規(guī)定(2)域控制器硬件需滿足國標(biāo)GB/T30512-2014《汽車禁用物質(zhì)要求》(3)域控制器硬件需按照”中國汽車材料數(shù)據(jù)系統(tǒng)（）”要求，填報材料數(shù)據(jù)表(4)域控制器硬件需按照遵循國標(biāo)GB/T19515-2015《道路車輛可再利用性和可回收利用性計算方法》要求4.4.20.法規(guī)要求域控制器硬件需遵循的國家強制性標(biāo)準(zhǔn)法規(guī)：域控制器硬件需遵循智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點申報要求5.高級別自動駕駛域控制器硬件安全要求5.1.安全原則及標(biāo)準(zhǔn)規(guī)范5.1.1.硬件架構(gòu)安全設(shè)計一般原則.功能安全(1)通用要求：硬件安全架構(gòu)設(shè)計要綜合考慮隨機性失效和系統(tǒng)性失效，在下述兩個設(shè)計原則之間進行平衡。a.硬件冗余設(shè)計和故障檢測回路，提供硬件的容錯能力。b.降低硬件復(fù)雜度，避免復(fù)雜的設(shè)計接口，降低系統(tǒng)失效的可能性。(2)硬件安全架構(gòu)設(shè)計應(yīng)提高系統(tǒng)的容錯能力，不能因為單一的故障或者錯誤導(dǎo)致危險產(chǎn)生，硬件容錯設(shè)計需要覆蓋的故障應(yīng)包括：a.硬件內(nèi)部器件故障，包括恒態(tài)故障和瞬態(tài)故障。b.外部輸入輸出接口的故障，包括數(shù)字IO接口，模擬AD接口，網(wǎng)絡(luò)接口和其他總線接口。c.外部環(huán)境的干擾，包括電壓浮動，EMC，振動和溫度濕度變化。d.人機失效的影響，要能夠防范操作和維護人員的單次操作或者維護行為的失誤，例如防插錯接口，自復(fù)按鈕，組合式操作方式。e.外部傳感器的故障，包括攝像頭，激光雷達，毫米波雷達,IMU和GNSS等。(3)硬件檢測措施達到的單點故障覆蓋率和潛伏故障覆蓋率要達到要有與ASIL等級要求一致的度量要求。(4)高階自動駕駛系統(tǒng)應(yīng)采用多通道設(shè)計，以實現(xiàn)高階自動駕駛所必須的和安全相關(guān)的可用性需求。同時需定義單通道故障后的緊急運行容錯時間間隔EOTTI或者降級模式下單通道ASIL等級要求。(5)硬件安全架構(gòu)設(shè)計應(yīng)明確檢測到故障后在架構(gòu)層級應(yīng)當(dāng)實現(xiàn)的安全導(dǎo)向措施，對于無法在控制器級別定義的安全側(cè)，應(yīng)明確將故障通知給應(yīng)用層的方式，并保證故障通知機制的安全性。(6)應(yīng)對安全相關(guān)的性能要求(故障錯誤時間間隔FTTI)在架構(gòu)元素中進行分配，明確各安全部件的故障檢測時間，故障處理時間要求和潛伏故障的檢錯間隔要求。(7)應(yīng)充分考慮與安全相關(guān)的，可靠性，可維護性和可用性設(shè)計，包括接口的緊固設(shè)計，器件降額設(shè)計，接地設(shè)計，過壓浪涌保護等設(shè)計。(8)要區(qū)分系統(tǒng)內(nèi)的安全相關(guān)通信和非安全相關(guān)通信，避免不同安全等級的通信互相干擾。(9)硬件架構(gòu)的安全設(shè)計應(yīng)滿足下述的避錯設(shè)計原則：a.清晰分層b.模塊化設(shè)計c.結(jié)構(gòu)化設(shè)計d.遵循合適的設(shè)計規(guī)范e.形式化或者半形式化開發(fā)工具f.簡單化設(shè)計g.可測試性設(shè)計h.采用經(jīng)過廣泛證明的元器件和模塊(10)在架構(gòu)設(shè)計中，應(yīng)對整個域控制器的安全完整度等級在分解出的架構(gòu)元素間進行分配，定義每個元素的ASIL等級，ASIL分解中要遵循下述原則：a.硬件模塊的ASIL等級應(yīng)取決于其所繼承的安全需求中最高的ASIL等級。b.可以通過冗余設(shè)計，將高ASIL等級的要求分配到低ASIL等級要求的硬件模塊。c.通過ASIL等級分配降低ASIL等級要求的，要滿足功能和物理上的獨立性，保證不會發(fā)生依賴性失效，必要的情況下要進行差異性設(shè)計。d.不同ASIL等級的硬件模塊之間存在接口時(功能接口，電氣接口，EMC接口)，要提供功能，物理和電氣上的隔離措施。e.如果不能保證獨立性，要按照受影響的最高的ASIL等級要求硬件模塊。(11)對于采用的可編程半導(dǎo)體芯片，包括邏輯芯片MCU,數(shù)字處理芯片DSP，AI芯片，GPU等，如果被分配到了ASIL等級(不含QM)，應(yīng)提供符合ISO26262對應(yīng)安全等級要求的證據(jù)。芯片作為SEooC輸出的外部運行限制條件的要求(電源條件，接口，外部保護機制等)應(yīng)在安全架構(gòu)設(shè)計里得到滿足。(12)提交的硬件安全架構(gòu)設(shè)計證據(jù)應(yīng)滿足下列要求：a.文檔要滿足可理解性，明確性，一致性，可行性，可驗證性，必要性和完整性的原則，分解出的硬件模塊需要有唯一的標(biāo)志、狀態(tài)和ASIL等級。b.硬件架構(gòu)安全設(shè)計應(yīng)有充分的驗證證據(jù)。c.硬件安全設(shè)計要與系統(tǒng)設(shè)計危害分析，可依賴型危害分析，失效模式影響分析中識別的硬件相關(guān)安全機制形成追溯關(guān)系。.信息安全(1)產(chǎn)品的關(guān)鍵芯片應(yīng)采取安全訪問控制技術(shù)保障芯片的對外接口安全，保障系統(tǒng)不被非授權(quán)的進入；(2)產(chǎn)品的關(guān)鍵芯片設(shè)計時應(yīng)采取措施提高芯片的電路、電氣可靠性，將芯片受側(cè)信道攻擊的可能性降低；(3)量產(chǎn)產(chǎn)品應(yīng)采取技術(shù)措施保障產(chǎn)品設(shè)計的機密性，保障產(chǎn)品的關(guān)鍵信息(芯片型號、管腳定義、測試點等)不可被直接觀察到；(4)產(chǎn)品中的硬件安全模塊，應(yīng)在自身的功能可靠性、工藝可靠性、封裝可靠性、芯片電路可靠性、電氣特性及電磁兼容技術(shù)等方面提供高等級的技術(shù)措施保障5.2.功能安全要求5.2.1.域控制器系統(tǒng)功能安全目標(biāo)及要求.高級別自動駕駛域控制器功能假設(shè)(1)車輛提供手動駕駛模式和自動駕駛模式。(2)當(dāng)車輛處于自動駕駛模式時，智能駕駛域控制器能夠根據(jù)環(huán)境感知系統(tǒng)和其他外部數(shù)據(jù)（交通，地圖等）的輸入，輸出控制請求到車輛的制動系統(tǒng)/轉(zhuǎn)向系統(tǒng)/驅(qū)動系統(tǒng)，使車輛按照特定的軌跡行駛。(3)駕駛員可以主動切換車輛的駕駛模式和自動駕駛模式。(4)只有當(dāng)車輛處在其設(shè)計運行范圍中時，智能駕駛域控制器才會允許車輛進入自動駕駛模式。(5)如果車輛在自動駕駛模式中且正在接近設(shè)計運行范圍的邊界時，智能駕駛域控制器應(yīng)逐步停止并轉(zhuǎn)移對車輛的控制權(quán)到駕駛員。(6)在設(shè)計運行范圍中，智能駕駛域控制器應(yīng)具備自行調(diào)用雨刮、外燈等的能力以保證正常行駛。(7)智能駕駛域控制器應(yīng)具備處理內(nèi)部電子電器系統(tǒng)故障的能力，并在故障的情況下能夠繼續(xù)為車輛提供行駛功能。圖5.2.1參考框圖.安全目標(biāo)SG01：當(dāng)車輛處于自動駕駛模式時，ADCU不能錯誤地（過大、過小、非預(yù)期）控制車輛導(dǎo)致發(fā)生橫向/縱向的碰撞。SG02：車輛處于自動駕駛模式時，ADCU不能丟失/禁用對車輛的控制導(dǎo)致發(fā)生橫向/縱向的碰撞。.功能安全需求基于前述的架構(gòu)假設(shè)與安全目標(biāo)，相關(guān)要素的分配的功能安全需求如下：(1)FSR01_感知:當(dāng)車輛處于自動駕駛模式時，感知系統(tǒng)需要向ADCU報告正確的環(huán)境數(shù)據(jù)以避免車輛橫向/縱向碰撞?！狝SILD(2)FSR02_車輛動態(tài)感知:當(dāng)車輛處于自動駕駛模式時，車輛動態(tài)感知系統(tǒng)需要向ADCU報告正確的車輛動態(tài)數(shù)據(jù)以避免車輛橫向/縱向碰撞?！狝SILD(3)FSR03_ADCU:當(dāng)車輛處于自動駕駛模式時，ADCU需要基于環(huán)境感知和動態(tài)感數(shù)據(jù)計算得到正確的橫縱向控制請求，以避免車輛橫向/縱向碰撞?！狝SILD為了確保功能的可用性，上述ASIL和失效率FIT要求很難滿足。挑戰(zhàn)來自實現(xiàn)功能所需的軟件和硬件技術(shù)的復(fù)雜性（深度學(xué)習(xí)、異構(gòu)硬件、加速器等）。因此，執(zhí)行架構(gòu)更改以確保滿足需求非常重要。圖5.2.2細(xì)化架構(gòu)-雙通道熱備份系統(tǒng)(4)基于細(xì)化架構(gòu)，開展定性分析，導(dǎo)出相關(guān)要素的功能安全需求。表5.2.1高級別自動駕駛域控制器功能安全目標(biāo)及要求ASILBASILDASILDASILDASILDASILDASILDASILD據(jù)ASILDASILDASILDASILDASILDADCU和相關(guān)的感知要素組合在一ASILD5.2.2.域控制器內(nèi)部安全分析及要求不論是主通道還是輔助通道，域控制器依靠內(nèi)部各要素可以完成自動駕駛功能，本節(jié)針對域控制器內(nèi)部要素進行安全分析，提出通用化的域控制器技術(shù)安全要求。技術(shù)安全要求是實現(xiàn)功能安全概念必要的技術(shù)要求，是制定該條FSR/FSC的實現(xiàn)技術(shù)方案，并以技術(shù)方案為對象，進行FTA或FMEA等分析，識別出該實現(xiàn)技術(shù)方案中違背該條FSR/FSC的故障，針對故障，設(shè)計診斷機制或安全措施，最終導(dǎo)出技術(shù)安全要求TSR，分配到具體硬件和軟件。需要指出的是，在域控制器優(yōu)化產(chǎn)品架構(gòu)設(shè)計時，可以重復(fù)以上步驟內(nèi)容進行迭代設(shè)計。.域控制器安全分析域控制器硬件架構(gòu)包括低速通訊單元，通訊方式有CANFD、LIN、DSI3等方式與毫米波/超聲波雷達等信息交互；高速通訊單元通過LVDS等方式與攝像頭、顯示器等進行信息交互，通過Ethernet與高精度地圖ECU、激光雷達等信息交互計算單元包括SOC、MCU等芯片進行計算處理；存儲單元包括DDR、UFS、EMMC等進行過程/標(biāo)定/配置數(shù)據(jù)存儲。圖5.2.3域控制器硬件架構(gòu)示例在進行功能安全故障和失效分析時，最常用的兩種技術(shù)方法是故障樹FTA分析和失效模式與影響分析FMEA。FTA是一種從非預(yù)期的系統(tǒng)行為導(dǎo)致該行為可能的原因的演繹方法（自上而下FMEA是一種從系統(tǒng)各模塊的失效原因到他們的失效系統(tǒng)的影響的歸納方案（自下而上）。域控制器功能假設(shè)分析針對所有可能作為主傳感器且識別場景獨立的傳感器，執(zhí)行器為自動駕駛的執(zhí)行單元，存儲單元進行圖片、點云等過程信息數(shù)據(jù)。表4.2.2為域控制器FMEA分析示例。表5.2.2域控制器FEMA示例式因雷DDDDDD滯DDDDDDDDDDDDDDDD滯DD理2.感監(jiān)檢等3.決DDDD存DDD儲2.標(biāo)儲DDD.域控制器安全需求(1)計算單元a.計算單元必須正確執(zhí)行計算操作，滿足分配的FIT/FTTI要求。b.計算單元具備冗余、ECC、CRC、E2E等安全機制。c.診斷和保護電路覆蓋包括安全島、系統(tǒng)總線、DDR控制器、CAN、以太網(wǎng)、視頻輸入等部分。(2)通訊單元a.通信單元必須保護點到點通信。b.在共享的通信信道上，通信單元必須保證和功能安全需求相關(guān)的通信的服務(wù)質(zhì)量。c.當(dāng)出現(xiàn)因硬件隨機失效或干擾等產(chǎn)生通信信息丟失、延遲、額外插入、損壞、阻塞、亂序、重復(fù)等事件時，事件需要上報。d.通訊收發(fā)器/控制器的供電需要被監(jiān)控。(3)IO接口a.IO接口必須支持自檢以滿足隨機失效率目標(biāo)。a.內(nèi)存單元必須能夠正確保存數(shù)據(jù)，滿足分配的隨機失效率目標(biāo)。.域控制器安全架構(gòu)設(shè)計E-Gas三層監(jiān)控架構(gòu)是功能安全領(lǐng)域的經(jīng)典架構(gòu)，其整體設(shè)計思路主要為：Level1，為功能層，主要包含發(fā)動機的控制功能，即執(zhí)行所要求的發(fā)動機轉(zhuǎn)矩、部件監(jiān)控、輸入/輸出變量診斷以及在檢測到故障時控制系統(tǒng)反應(yīng)。Level2，為功能監(jiān)控層，用于檢測Level1功能層軟件的缺陷過程，如通過監(jiān)測計算出的扭矩值或車輛加速度。當(dāng)系統(tǒng)出現(xiàn)故障時，會觸發(fā)系統(tǒng)的反應(yīng)。Level3,為控制器監(jiān)控層，監(jiān)控模塊應(yīng)是功能控制器(如ASIC或控制器)的獨立部分，用于在問答過程中測試程序是否正確執(zhí)行。在故障情況下，系統(tǒng)反應(yīng)獨立于功能控制器觸發(fā)。圖5.2.4系統(tǒng)概述3級發(fā)動機控制器的概念出自《StandardizedE-GasMonitoringConceptforGasolineandDieselEngineControlUnitsVersion6.0》Fig.4.2.4Systemoverview3levelconceptoftheenginecontroller圖5.2.5LC發(fā)動機控制器的3級概念出自《StandardizedE-GasMonitoringConceptforGasolineandDieselEngineControlUnitsVersion6.0》Fig.4.2.5Systemoverview3levelconceptoftheenginecontrollerwithlockstep-core(LC)在進行高級別自動駕駛域控制器內(nèi)部安全架構(gòu)設(shè)計時，可以充分參考E-Gas三層監(jiān)控架構(gòu)進行設(shè)計。本規(guī)范借鑒E-Gas三層安全架構(gòu)設(shè)計，給出域控制器安全架構(gòu)設(shè)計示例，功能層Level1按照QM要求開發(fā)，功能監(jiān)控層Level2與硬件監(jiān)控層Level3按照相應(yīng)ASIL等級開發(fā)。圖5.2.6域控制器內(nèi)部安全架構(gòu)示例功能層Level1依據(jù)感知周圍的環(huán)境，并進行環(huán)境信息與車內(nèi)信息的采集與處理，主要涉及道路邊界監(jiān)測、車輛檢測、行人檢測等，負(fù)責(zé)路徑規(guī)劃和導(dǎo)航，通過執(zhí)行相應(yīng)控制策略。功能監(jiān)控層Level2思路為獨立于功能層采取盡可能簡單算法做融合決策，將功能層決策與監(jiān)控層決策差值過大時，則進入相應(yīng)的安全狀態(tài)；安全MCU對SOC進行監(jiān)控。硬件監(jiān)控層Level3需要電源監(jiān)控、外部看門狗或者獨立于域控制器的另一個安全控制器/域控制器作為安全監(jiān)控。.域控制器安全機制(1)計算單元a.計算單元可采用通道冗余方式降低FIT。b.計算單元可采用時間冗余方式降低FIT。c.計算單元可采用鎖步冗余方式降低FIT。d.計算單元應(yīng)做自檢以降低潛在風(fēng)險。e.計算單元必須保證計算在規(guī)定時間內(nèi)執(zhí)行。f.CPU時間片、內(nèi)存、外圍設(shè)備訪問、總線之間故障的隔離，功能之間互不影g.系統(tǒng)失效后的緊急運行功能或降級功能。h.實現(xiàn)不同算法監(jiān)控，結(jié)果實現(xiàn)算法級冗余。a.內(nèi)存模塊可采用ECC硬件防止隨機單點錯誤。b.內(nèi)存模塊可采用校驗位保護重要內(nèi)存寄存器等。c.禁止不可信的代碼執(zhí)行特權(quán)指令。d.內(nèi)存冗余分區(qū)存儲，數(shù)據(jù)庫循環(huán)冗余檢查。e.存儲空間保護主要是避免一個軟件組件在未經(jīng)許可的前提下篡改另一塊存儲空間的軟件組件的數(shù)據(jù)內(nèi)容。(3)通訊單元a.域控制器SoC需支持CAN上的安全機制。b.域控制器SoC需支持LIN上的安全機制。c.傳感器/執(zhí)行器將狀態(tài)數(shù)據(jù)通過通訊總線傳輸?shù)接蚩刂破?，并進行CRC校驗，如果連續(xù)Q幀以上檢查結(jié)果不正確，則上報故障，具體數(shù)值需要進行標(biāo)定確認(rèn)。d.域控制器和傳感器/執(zhí)行器每Nms通過通訊總線相互發(fā)送心跳信號，并進行正確的超時監(jiān)控。如果雷達超過Mms沒有接收到心跳信號，則通過通訊總線發(fā)出告警表示故障，具體數(shù)值需要進行標(biāo)定確認(rèn)。e.傳感器/執(zhí)行器將狀態(tài)數(shù)據(jù)通過通訊總線傳輸?shù)接蚩刂破?，并帶有活動計?shù)器檢查，計數(shù)器范圍為0-15，滾動步長為1，如果計數(shù)器連續(xù)X幀以上保持不變，則切換到安全狀態(tài)。f.內(nèi)部通訊收發(fā)器/控制器電源電壓需要被監(jiān)控，當(dāng)?shù)陀诨蚋哂谛酒９ぷ麟妷悍秶?，則上報告警。(4)IO接口a.應(yīng)對每一路涉及安全的IO接口進行有效校驗，探測如接口短路、開路、電源等失效。a.當(dāng)檢測到任一故障時，應(yīng)將IO接口信號有效位標(biāo)志為無效。5.2.3.面向高級別自動駕駛域控制器硬件的安全要求失效-安全（fail-safe）系統(tǒng)是指在發(fā)生特定類型的故障時，其固有的響應(yīng)方式將對其他設(shè)備、環(huán)境或人員造成最小或不造成傷害，在ISO26262:2018標(biāo)準(zhǔn)中，舉例說明失效-安全（fail-safe）硬件設(shè)計是當(dāng)隨機硬件失效發(fā)生時，不需要探測即可進入安全狀態(tài)的硬件設(shè)計，即當(dāng)系統(tǒng)無法運行時變得安全。失效-運行（fail-operational）系統(tǒng)是指在出現(xiàn)一個（或多個）故障時，系統(tǒng)仍然需要維持一定程度的功能（比如預(yù)期功能安全要求的Fallback設(shè)計、動態(tài)冗余架構(gòu)中的熱備份系統(tǒng)等并且在故障清除后能立即恢復(fù)到正常運行狀態(tài)。對于自動駕駛系統(tǒng)而言，參考表4.2.3定義[GB/T40429-2021]的不同等級自動駕駛的不同駕駛活動場景下的責(zé)任主體。比如滿足有條件自動駕駛的失效-運行系統(tǒng)，可能需要設(shè)計一個能夠在幾秒內(nèi)（具體由緊急運行時間間隔定義）將車輛安全移動到路邊和在車道內(nèi)緊急停車的Fallback系統(tǒng)。而針對應(yīng)用場景為高度自動駕駛或完全自動駕駛的動態(tài)駕駛?cè)蝿?wù)后援系統(tǒng)，則需要具備將車輛引導(dǎo)到服務(wù)區(qū)等安全中轉(zhuǎn)場所的能力。表5.2.3駕駛自動化等級與劃分要素的關(guān)系制駛當(dāng)前為滿足高等級自動駕駛需要，在整車層面需要進行智駕域控制器的冗余架構(gòu)設(shè)計，而當(dāng)前比較成熟的系統(tǒng)或硬件冗余架構(gòu)，通常都會使用多表決多數(shù)投票原則（比如1oo2，2oo3，MooN等多數(shù)表決技術(shù)通過確保冗余的功能，提高了系統(tǒng)的可用性。在IEC61508標(biāo)準(zhǔn)中提出了5種安全架構(gòu)，這些架構(gòu)的運行邏輯和可用性（availability）對比如表4.2.4所示：表5.2.4安全架構(gòu)可用性對比無低無低高高高為了更好地進行高等級自動駕駛域控制器安全架構(gòu)的冗余設(shè)計，首先對行業(yè)比較關(guān)心的安全架構(gòu)進行簡單的說明。.安全架構(gòu)說明(1)1oo2D架構(gòu)圖5.2.71oo2D物理框圖1oo2D架構(gòu)由并聯(lián)的兩個通道構(gòu)成，互為冗余：正常工作期間，兩個通道都要求安全時，動作才發(fā)生。其中通道中診斷檢測到故障，則將采用輸出表決，輸出狀態(tài)則選擇另一通道的輸出結(jié)果。診斷測試都檢測到故障、或檢測到兩個通道間存在差異，系統(tǒng)轉(zhuǎn)移到安全狀態(tài)。圖5.2.81oo2DFTA結(jié)構(gòu)(2)1oo2架構(gòu)圖5.2.91oo2物理框圖1oo2架構(gòu)基本和1oo2D架構(gòu)一致，同樣由兩個并聯(lián)的通道組成，每個通道都能處理安全功能：允許一個通道發(fā)生失效當(dāng)兩個通道都存在危險失效時，則導(dǎo)致安全功能的失效當(dāng)診斷測試報告發(fā)現(xiàn)故障時，不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決(3)2oo3架構(gòu)圖5.2.10高要求或連續(xù)運行模式的架構(gòu)高要求或連續(xù)運行模式的架構(gòu)采用1組表決架構(gòu)為1oo2的2個傳感器，邏輯子系統(tǒng)是配置為2oo3的系統(tǒng)（診斷覆蓋率要求為99%用于驅(qū)動1個單獨的停機接觸器（1oo1）。.高級別自動駕駛域控制器整車級安全架構(gòu)在高級別自動駕駛域控制器整車級安全架構(gòu)中，需要滿足以下要求：滿足多樣性的冗余傳感器要求（比如多種功能攝像頭、毫米波雷達、激光雷達、超聲波雷達等）。高性能的冗余通信鏈路。冗余供電網(wǎng)絡(luò)。滿足ASILD要求的失效-安全（Fail-safe）控制器用于組成失效-運行（fail-operational）硬件安全架構(gòu)。圖5.2.11高級別自動駕駛1oo2D架構(gòu)對于3級及以上自動駕駛系統(tǒng)，在系統(tǒng)出現(xiàn)故障發(fā)出介入請求后，如果動態(tài)駕駛?cè)蝿?wù)后援用戶未響應(yīng)，需要適時采取減緩車輛風(fēng)險的措施[GB/T40429-2021]，通常達到最小風(fēng)險狀態(tài)的時間為10s以內(nèi)（以實際要求為準(zhǔn)），此時不允許馬上關(guān)閉系統(tǒng)，而是要設(shè)計失效運行Fail-Operational的安全機制，以充分保障安全。在進行失效運行安全架構(gòu)設(shè)計時紀(jì)要考慮安全性，又要考慮總體成本?；诔杀竞桶踩缘钠胶饪剂?，本規(guī)范給出當(dāng)前業(yè)界比較常用1oo2D的架構(gòu)作為示例，其要求如下：(1)控制器1和控制器2都需要滿足ASILD要求，高診斷覆蓋率(2)當(dāng)控制器1或控制器2任何一個發(fā)生失效時，原則上不能馬上關(guān)閉系統(tǒng)，需要能夠完成安全停車的最小風(fēng)險狀態(tài)(3)控制器1或控制器2都能夠單獨執(zhí)行動態(tài)駕駛?cè)蝿?wù)(4)控制器1和控制器2需要滿足異構(gòu)冗余a.開發(fā)過程管控管理層面滿足異構(gòu)冗余b.技術(shù)管控層面滿足異構(gòu)冗余5.3.信息安全要求5.3.1.芯片外部接口要求(1)不應(yīng)存在后門或隱蔽接口。(2)聯(lián)合調(diào)試(JTAG)接口及其他調(diào)試接口，量產(chǎn)時應(yīng)禁用或具備訪問控制保護能力，禁止非授權(quán)的數(shù)據(jù)訪問。(3)通用串行總線(USB)接口，應(yīng)具備對接入設(shè)備中的文件進行訪問控制的能力，只允許媒體文件讀寫或指定簽名的應(yīng)用軟件安裝或執(zhí)行，應(yīng)具備抵御接入設(shè)備中的病毒程序和攜帶病毒的媒體文件/應(yīng)用軟件的能力。(4)車載診斷(OBD)接口，在發(fā)送寫操作請求時（如UDS協(xié)議的Control、Clear、Reset請求），應(yīng)采用身份鑒別、訪問控制等安全策略。5.3.2.防側(cè)信道攻擊要求.概念側(cè)信道攻擊指利用密碼設(shè)備在加密過程執(zhí)行時所泄露的時間、能量消耗、電磁輻射等與加密算法實現(xiàn)密切相關(guān)的物理信息來實現(xiàn)對加密信息或加密秘鑰的破解。自動駕駛域控制器設(shè)計中應(yīng)使用技術(shù)手段來防御側(cè)信道攻擊。.側(cè)信道攻擊分類根據(jù)側(cè)信道攻擊的侵入程度，可分為非侵入式攻擊、半侵入式攻擊、侵入式攻擊等。侵入式攻擊是指攻擊者能夠直接接觸密碼芯片的內(nèi)部組件，通過破壞芯片的鈍化層獲得信息，將探針插入數(shù)據(jù)總線來獲得傳輸?shù)臄?shù)據(jù)。當(dāng)檢測到入侵時可將全部內(nèi)部數(shù)據(jù)清零來防御。半浸入式攻擊是指攻擊者不必破壞芯片鈍化層，而采用激光、X光等對芯片進行照射攻擊，導(dǎo)致設(shè)備產(chǎn)生故障間接獲取秘密信息或者直接讀取秘密信息。非侵入式攻擊常利用設(shè)備運行時的電磁場變化等信息，側(cè)信道信息獲取方便，是最廣泛應(yīng)用的攻擊形式。.側(cè)信道攻擊防御策略(1)針對非侵入式攻擊和半侵入式攻擊的硬件防御策略。(2)采用不暴露管腳的秘鑰芯片。(3)產(chǎn)品出廠時應(yīng)處理掉可暴露秘鑰芯片信息的絲印、pin角號等信息。(4)傳輸秘鑰信息的通信線減少暴露。(5)針對侵入式攻擊的硬件防御策略。(6)互補邏輯元件，通過平衡電路各個元件的功耗隱藏中間值與秘密信息的相關(guān)性。5.3.3.硬件安全模塊要求(1)硬件安全模塊應(yīng)抵抗物理攻擊，防止通過諸如剖片、電路篡改、探針探測等手段實施的攻擊，或能夠提供安全措施顯著增加實施此類攻擊的困難性。(2)硬件安全模塊應(yīng)提供控制和限制克隆的方法，使得硬件安全模塊的安全功能或敏感數(shù)據(jù)不會被復(fù)制。(3)硬件安全模塊應(yīng)提供控制和限制信息泄漏的方法，使得攻擊者無法通過分析諸如功耗等因素的變化來獲取操作過程的信息或其它安全信息，有用信息不會通過電源、時鐘、復(fù)位、I/O線而泄漏。(4)硬件安全模塊應(yīng)使得即便暴露在非標(biāo)準(zhǔn)環(huán)境中時，也能夠發(fā)現(xiàn)這些工作條件的改變，且采取相應(yīng)的防護措施，防止安全信息泄漏，或使芯片進入一種安全的運行狀態(tài)。這些環(huán)境影響因素包括溫度、電壓、時鐘頻率或外部能量場。(5)硬件安全模塊應(yīng)具有抗邏輯操縱且動態(tài)可變的結(jié)構(gòu)，以抵抗邏輯攻擊，防止通過諸如邏輯探測、命令修改等手段實施的攻擊，顯著增加實施此類攻擊的困難性。(6)硬件安全模塊應(yīng)對硬件安全模塊內(nèi)部的用戶數(shù)據(jù)和安全功能數(shù)據(jù)實施訪問控制措施，防止在未授權(quán)情況下被訪問、修改或刪除。(7)硬件安全模塊應(yīng)在受控且經(jīng)過定義的方式下操作資源或訪問數(shù)據(jù)。(8)硬件安全模塊應(yīng)能夠防止通過分析重復(fù)探測的響應(yīng)而導(dǎo)致的信息泄漏，以抵御插入缺陷數(shù)據(jù)重復(fù)探測的攻擊。(9)硬件安全模塊應(yīng)確保片內(nèi)生成的隨機數(shù)能滿足應(yīng)用要求的質(zhì)量指標(biāo)。例如，隨機數(shù)應(yīng)不能被預(yù)測，且具有一定的熵值，以防止攻擊者猜測通過隨機數(shù)生成的密鑰、挑戰(zhàn)值等信息。(10)硬件安全模塊應(yīng)防止固件程序本身不得被任何人獲取或篡改，保證固件的健壯性和完整性，提供高安全的權(quán)限管理系統(tǒng)，以防止攻擊者利用固件可能含有的后門程序，從而使攻擊者獲得高權(quán)限訪問系統(tǒng)，獲取硬件安全模塊安全功能數(shù)據(jù)。(11)硬件安全模塊應(yīng)具有自損自毀自恢復(fù)功能、密鑰管理、安全協(xié)議和安全策略等應(yīng)用防護機制，以抵抗各種應(yīng)用威脅和應(yīng)用攻擊，或能夠提供安全措施顯著增加實施此類攻擊的困難性。(12)硬件安全模塊應(yīng)對密鑰及敏感信息提供以硬件實現(xiàn)的訪問控制機制，使得能夠正確、有效地存儲密鑰和敏感信息且具有主動完成密鑰和敏感信息自毀的能力。(13)硬件安全模塊應(yīng)對自身安全功能的可用性進行生命周期階段劃分，或進行權(quán)限控制，以防止攻擊者濫用這些功能（如測試模式下的某些功能應(yīng)在硬件安全模塊芯片交付后關(guān)閉）。(14)硬件安全模塊應(yīng)以一個動態(tài)可變的安全方式支持密碼功能。其使用的密碼算法應(yīng)符合國家及行業(yè)要求的密碼管理相關(guān)標(biāo)準(zhǔn)或規(guī)范。(15)硬件安全模塊應(yīng)提供在非易失性存儲器中存儲初始化數(shù)據(jù)和個性化數(shù)據(jù)的能力。5.3.4.PCB安全設(shè)計要求(1)產(chǎn)品所使用的關(guān)鍵芯片(處理器、存儲芯片、通信芯片、安全芯片等)應(yīng)減少暴露管腳，例如：使用BGA/LGA封裝的芯片，芯片四周涂覆保密膠等。(2)產(chǎn)品所使用的關(guān)鍵芯片不宜暴露公開可讀的型號信息，例如：使用內(nèi)部代號代替公開的型號信息，用特殊工藝去除或覆蓋芯片絲印等。(3)電路板不應(yīng)暴露用以標(biāo)注芯片型號、線路、接口、信號功能的公開可讀的絲印。(4)電路板不應(yīng)暴露敏感的信號、通信線路，例如：使用多層電路板的系統(tǒng)可采用內(nèi)層布線方式隱藏通信線路。(5)電路板應(yīng)刪除任何不必要的測試點，如果測試點是必要的不能移除的，應(yīng)采用可以隱藏信號連接的焊盤，例如：用銅填充通孔焊盤替代測試點的方式等。(6)調(diào)試、生產(chǎn)測試用的接口與外部不應(yīng)使用連接器直接連接，應(yīng)將測試點分散分布在PCB上，通過夾具的方式連接。6.高級別自動駕駛控制器硬件架構(gòu)6.1.異構(gòu)硬件總體設(shè)計高級別自動駕駛域控制器主要完成自動駕駛汽車在城市、高速等場景下實現(xiàn)感知、預(yù)測、決策、規(guī)劃和控制等高級別自動駕駛域控制器功能需求，因此具備如下需求特點：控制器的主要功能包括需要采集接入的各種傳感器的數(shù)據(jù)作為輸入，控制器負(fù)責(zé)各種計算和邏輯處理，將處理的結(jié)果發(fā)送到執(zhí)行器執(zhí)行。高級別自動駕駛域控制器多采用基于芯片異構(gòu)的板級架構(gòu)，以滿足控制器多種類型計算、處理需求。異構(gòu)架構(gòu)主要滿足多種類型、多個傳感器組合的信號接入和數(shù)據(jù)處理，同時滿足多種類型計算、多種類型接口接入、高實時、高安全等復(fù)雜功能及需求，傳統(tǒng)單一類型處理器芯片很難滿足高級別自動駕駛場景應(yīng)用需求，因此需要基于芯片異構(gòu)架構(gòu)的域控制器，如目前高級別自動駕駛域控制器多采用SoC、MCU、NPU等不同類型芯片組合的硬件架構(gòu)。另外，高級別自動駕駛域控制器多采用分布式彈性板級硬件架構(gòu)。為滿足高等級自動駕駛大算力、多接口、安全可靠、高中低配及功能擴展等需求，單一處理器芯片很難滿足需求，根據(jù)芯片性能及應(yīng)用需求，常采用多處理器芯片的分布式彈性硬件架構(gòu)，如包含多SoC的組合架構(gòu)。高級別自動駕駛域控制器具備豐富接口能力：包括單路或多路的攝像頭接入、顯示輸出、毫米波雷達接入、超聲波雷達接入、激光雷達接入、組合慣導(dǎo)接入、車輛底盤接入、其它控制器數(shù)據(jù)交互等。6.1.2.功能架構(gòu)高級別自動駕駛域控制器通過外部接口與傳感器、其它控制器進行數(shù)據(jù)交互。高級別自動駕駛域控制器異構(gòu)硬件主要包括電源單元、低速通信單元、高速通信單元、計算單元、存儲單元、散熱單元、結(jié)構(gòu)單元、安全與冗余單元等，如圖5.1.1所示：圖6.1.1自動駕駛域控制功能架構(gòu).電源單元電源單元主要實現(xiàn)對自動駕駛域控制器各個單元電路提供所需的電源輸入和轉(zhuǎn)換，還包括可選的完成上、下電和休眠功能，并進行必要防護和電源監(jiān)控。其中電源輸入一般為車載12V或24V直流電源，控制器的電源系統(tǒng)通過DC-DC或LDO轉(zhuǎn)換為功能電路所需的電壓和電流；控制器的電源系統(tǒng)還包括功能電路的上電和下電時序控制，以及在正常工作功能和低功耗模式下的切換功能；為滿足車載苛刻的使用環(huán)境需求，控制器的電源需要提供過壓、欠壓、過流、反接、EMI防護電路，并提供異常及故障檢測，還應(yīng)滿足功能安全要求。.低速通信單元低速通信單元主要完成自動駕駛域控制器與外部傳感器、其它控制器、執(zhí)行器的數(shù)據(jù)交互。一般指通信速率低于10Mbps的總線或網(wǎng)絡(luò)通信單元。低速通信單元支持多種類型多通道的通信總線和網(wǎng)絡(luò)：(1)支持多路CAN總線接口能力，支持CAN和CANFD總線；(2)支持多路LIN總線接口能力，可選非必須，主要用于低速車載設(shè)備(3)支持超聲波雷達USS的接口能力，根據(jù)需求可以選擇GPIO，DSI3或LIN等接口類型；(4)支持單路或多路FlexRay總線接口能力，可選非必須；.高速通信單元高速通信單元主要實現(xiàn)攝像頭圖像輸入、圖像顯示輸出及車載以太網(wǎng)通信功能。一般指通信速率不低于10Mbps的總線或網(wǎng)絡(luò)通信單元。(1)傳感器圖像輸入主要實現(xiàn)單路或多路攝像頭串行數(shù)據(jù)解串，再通過MIPI、RGB等總線發(fā)送給計算單元的SoC芯片處理。(2)圖像顯示輸出主要實現(xiàn)SoC芯片將單路或多路圖像數(shù)據(jù)，通過MIPI、RGB等接口轉(zhuǎn)成串行數(shù)據(jù)發(fā)送給顯示器或其它控制器進行顯示。(3)支持單路或多路車載以太網(wǎng)總線接口能力，支持100BASE-T1，1000BASE-T1，10GBASE-T1車載以太網(wǎng)協(xié)議。.異構(gòu)分布式計算單元計算單元主要實現(xiàn)對數(shù)據(jù)的計算處理。計算單元架構(gòu)特點如下：不同芯片組成異構(gòu)板級架構(gòu)：計算單元采用以SoC和MCU為主的芯片異構(gòu)組合。其中SoC主要完成傳感器接入處理、感知、預(yù)測、決策、規(guī)劃等自動駕駛功能，MCU主要完成車輛控制、控制器硬件整體安全監(jiān)控、電源系統(tǒng)管理、網(wǎng)絡(luò)管理、散熱管理等功能。.存儲單元存儲單元主要為滿足自動駕駛域控制器計算單元數(shù)據(jù)存儲及程序存儲的功能需求。存儲單元包括隨機存儲器及非易失性存儲器。隨機存儲器主要使用DDR與計算單元的處理器芯片通過專用接口連接。非易失性存儲主要使用Nor、eMMC或UFSFLASH型存儲器，分別通過SPI、eMMC、UFS接口與計算單元的處理器連接。.散熱單元散熱單元主要是指在自動駕駛域控制器電路系統(tǒng)各種運行環(huán)境中進行有效散熱，以滿足電路系統(tǒng)能夠在要求的溫度范圍內(nèi)正常穩(wěn)定運行，并為其提供良好的溫度環(huán)境，同時，散熱單元還需符合結(jié)構(gòu)單元及所布置的位置環(huán)境溫度要求。.結(jié)構(gòu)單元結(jié)構(gòu)單元主要為滿足域控制器在機械方向的需要，比如：強度、耐久和應(yīng)力等方面，域控制器結(jié)構(gòu)設(shè)計通常包括電路板結(jié)構(gòu)設(shè)計、殼體結(jié)構(gòu)設(shè)計和力學(xué)仿真分析等。.安全與冗余單元安全單元主要指自動駕駛域控制器的功能安全，滿足在自動駕駛運行各種場景下硬件系統(tǒng)所需的功能安全診斷、失效率、失效安全、失效可操作等要求。安全單元非獨立模塊，其功能體現(xiàn)在域控制器各個功能單元中，并且需要必要的軟件功能配合。冗余性設(shè)計一直以來都是保護關(guān)鍵子系統(tǒng)或組件的有效手段，異構(gòu)冗余架構(gòu)能夠有效應(yīng)對軟硬件隨機性故障導(dǎo)致的可靠性問題，可顯著提升關(guān)鍵系統(tǒng)的魯棒性和安全性。針對高級別自動駕駛硬件平臺，從傳感器多樣性冗余、計算單元冗余、執(zhí)行器冗余、通信鏈路冗余以及供電冗余等方面去滿足失效-運行（fail-operational）的要求。6.1.3.器件選型要求在車載產(chǎn)品中，所有的器件需要滿足車規(guī)級要求，關(guān)鍵器件工作溫度范圍推薦如下表：NorFlash6.2.電源設(shè)計6.2.1.電源輸入魯棒性設(shè)計.技術(shù)要求產(chǎn)品需滿足車載電源的要求，可參照ISO7637-2標(biāo)準(zhǔn)，同時應(yīng)滿足ISO16750-2電性能需求，不同車廠的要求略有差異需重點關(guān)注差異點，電性能列表附件A做詳細(xì)舉例；該要求在設(shè)計硬件電路、元器件選型時需要重點考慮，同時控制邏輯也需要傳遞給軟件部門，做到產(chǎn)品級別滿足客戶要求；.設(shè)計概要.1.電源濾波電路設(shè)計產(chǎn)品設(shè)計時，需考慮EMI(ElectromagneticInterference電磁干擾,以下簡稱EMI)性能，特別是線束相關(guān)的傳導(dǎo)發(fā)射，設(shè)計時需考慮是否預(yù)留設(shè)計Π型濾波或者共模電感；.2.TVS/MOV選擇當(dāng)輸入端有異常高壓/負(fù)壓干擾，可能導(dǎo)致控制器內(nèi)部元器件或者電路損壞，或者導(dǎo)致系統(tǒng)工作異常；TVS/MOV（MetalOxideVaristors壓敏電阻，以下簡稱MOV）瞬間吸收異常干擾能量，從而維持系統(tǒng)穩(wěn)定；該類保護器件選擇注意事項：(1)TVS/MOVVBR選擇需要滿足長時間過壓以及ISO7637-25b要求；(2)IR涉及產(chǎn)品休眠電流，設(shè)計時需要考慮其對系統(tǒng)的影響；(3)TVS選擇雙向保護器件；(4)PPK功率需考慮ISO7637-23a/3b，針對ISO7637-25b要求相當(dāng)嚴(yán)格，選型設(shè)計(5)初需要通過理論計算，確認(rèn)選型滿足客戶指定的實驗要求；(6)雙向TVS工作示意圖如圖5.2.1：圖6.2.1雙向TVS工作示意圖.3.防反設(shè)計當(dāng)系統(tǒng)產(chǎn)生負(fù)向電壓時，會導(dǎo)致元器件超出使用范圍而損壞，輕則影響產(chǎn)品功能；如：極性元器件（電解電容器）、IC等器件；反向保護器件可以是二極管、場效應(yīng)管或者集成保護芯片等。保護器件注意事項：(1)Vf涉及電源軌電壓壓降，如果Vf過大，系統(tǒng)在低壓模式下，可能導(dǎo)致產(chǎn)品工作異常；同時大電流工作時，發(fā)熱應(yīng)滿足該器件應(yīng)用要求；(2)Vr反向耐壓選擇，需要考慮反極性測試、ISO7637-23b的要求；(3)Pd由于系統(tǒng)電流偏大、散熱需求大，需要適當(dāng)增加散熱面積，同時滿足理論計算要求；.4.AD采樣設(shè)計電源電壓需要實時檢測，設(shè)計時需要提供電源采樣電路：舉例如下圖5.2.2；圖6.2.2電源采樣電路注意事項：(1)檢測電路屬于常導(dǎo)通狀態(tài)，所以對靜態(tài)電流的影響需要滿足系統(tǒng)需求；(2)采樣ADC輸入端不能超出主芯片限制范圍，需要進行理論計算、分析；(3)分壓電阻優(yōu)選1%或更高精度，同時滿足計算要求；.5.電解電容器選擇電解電容為控制器常用的濾波、儲能器件，包含陽極、電介質(zhì)、陰極等，常見為鋁電解、鉭電解、固態(tài)、或混合電容；注意事項：(1)電容的耐壓及容值需經(jīng)過理論分析滿足系統(tǒng)要求；如：跳變電壓啟動要求，長時間過壓，斷電保持時間等；(2)極性電容的極性不能反接，避免導(dǎo)致?lián)p壞；(3)電解液屬于揮發(fā)材料，需考慮壽命是否滿足產(chǎn)品應(yīng)用的需求；(4)需要考慮漏電流對系統(tǒng)休眠電流的影響；.6.MLCC電容選擇MLCC(Multi-layerCeramicCapacitors)就是片式多層陶瓷電容器，在電路設(shè)計中廣泛應(yīng)用，可實現(xiàn)信號濾波，退耦、去耦、延時、靜電防護等功能；注意事項：(1)連接器側(cè)電源網(wǎng)絡(luò)MLCC電容，推薦使用軟端子設(shè)計電容；(2)KL30電源直接相關(guān)，優(yōu)選0805及以上封裝；(3)盡量避免選取1210及以上封裝電容；(4)電容優(yōu)選X7R或同等性能MLCC電容；(5)推薦選取2倍及以上系統(tǒng)電源軌電壓的電容電壓；.7.電源LDO低壓差線性電源LDO（Lowdropoutregulator主要用于將靈敏的負(fù)載與有噪聲的電源相隔離。就效率而言,LDO的功率耗散會是一個顯著劣勢。注意事項：(1)輸入電壓優(yōu)選40V及以上范圍；(2)輸入波動或瞬態(tài)電壓跳變的抑制滿足系統(tǒng)要求，避免導(dǎo)致輸出電壓、電流波動，導(dǎo)致微處理器異常或者PowerGOOD狀態(tài)翻轉(zhuǎn)；(3)輸出紋波及電流、電壓滿足負(fù)載IC的需求，并預(yù)留設(shè)計余量；(4)外圍電路設(shè)計應(yīng)滿足輸出穩(wěn)定性要求，如：ESR要求；(5)電源設(shè)計時需考慮是否需要Reset或者powergood控制MCU；(6)最嚴(yán)苛的工況下LDO的功耗及散熱需滿足要求；(7)如果產(chǎn)品要求在極低電壓下工作，需考慮導(dǎo)通壓降對電路參數(shù)的影響.8.電源DCDC在LDO電源基礎(chǔ)上追加注意事項：(1)設(shè)計之初需考慮開關(guān)頻率對EMC的影響，優(yōu)選具備展頻功能器件；(2)為提高EMC性能，電源Layout環(huán)路設(shè)計重點關(guān)注輸出環(huán)路、輸入環(huán)路設(shè)計，環(huán)路面積盡量小、接地良好；優(yōu)先保證輸出環(huán)路，其次是輸入環(huán)路；(3)為降低發(fā)熱，選擇開關(guān)電源效率高的型號；(4)電感、及外部續(xù)流二極管或場效應(yīng)管需滿足器件電流要求及發(fā)熱溫升要求；.9.電源PMIC在DCDC電源基礎(chǔ)上追加注意事項：(1)后續(xù)MCU及SOC電源軌電壓、電流是否完全匹配；(2)電源啟動和關(guān)閉時序滿足系統(tǒng)要求；(3)診斷及檢測滿足系統(tǒng)或者功能安全需求；(4)最嚴(yán)苛的工況下下休眠電流不能導(dǎo)致產(chǎn)品休眠指標(biāo)超出要求；(5)最大功耗下，散熱需滿足系統(tǒng)要求；.狀態(tài)邏輯產(chǎn)品層面電源管理需要細(xì)化，以滿足產(chǎn)品需求，以下舉例說明相關(guān)要求及設(shè)計：.技術(shù)要求域控制器需要滿足整車網(wǎng)絡(luò)物理層設(shè)計要求，在四個狀態(tài)（關(guān)機、工作、休眠、安全）之間進行切換。在進行狀態(tài)切換的過程中需要整車網(wǎng)絡(luò)物理層保持喚醒狀態(tài)。域控制器從關(guān)機、啟動到工作后，控制器在工作狀態(tài)和休眠狀態(tài)進行切換，以此滿足整車掉電要求。域控制器根據(jù)安全狀態(tài)等級，進行電源管理，如下安全等級（注：與ASIL等級不存在對應(yīng)關(guān)系）：表6.2.1等級一.設(shè)計概要圖6.2.3設(shè)計概要(1)關(guān)機狀態(tài)通過點火信號啟動后，進入到工作狀態(tài)，點火信號的電平電壓應(yīng)大于電源IC的高閾值開啟電平（Voh）；(2)工作狀態(tài)切換到休眠狀態(tài)，對應(yīng)模塊的喚醒源無效，只有對應(yīng)模塊的部分電路保持常供電，其他電路關(guān)閉，進入待機狀態(tài)。當(dāng)收到喚醒信號后，對應(yīng)模塊的喚醒源有效，使控制器由休眠狀態(tài)進入到工作狀態(tài);(3)喚醒源對應(yīng)模塊包括但不局限于下表:表6.2.21234(4)域控制器處于任何狀態(tài)，當(dāng)發(fā)生安全故障時，域控制器根據(jù)安全等級判斷域控制器是否進入安全狀態(tài)，對域控制器進行電源管理。若域控制器已經(jīng)處于安全狀態(tài)，當(dāng)安全故障解除后，域控制器重新復(fù)位內(nèi)部電路，重新