ZHDS036 January   2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1

 

  1.   1
  2.   摘要
  3.   商标
  4. 1简介
    1. 1.1 背景
    2. 1.2 硬件/软件 FuSa 分析流程
      1. 1.2.1 项目定义
      2. 1.2.2 功能安全目标
      3. 1.2.3 功能安全概念
      4. 1.2.4 技术安全概念
      5. 1.2.5 硬件/软件安全要求
      6. 1.2.6 依赖性故障分析
    3. 1.3 TI 配套资料
      1. 1.3.1 TI 元件类别
      2. 1.3.2 用于安全 MCU 的 FuSa 配套资料
  5. 2OBC 系统的 FuSa 概念
    1. 2.1 项目定义
      1. 2.1.1 项目功能
      2. 2.1.2 系统边界
      3. 2.1.3 外部接口
      4. 2.1.4 操作模式
    2. 2.2 功能安全目标
    3. 2.3 功能安全概念
    4. 2.4 技术安全概念
    5. 2.5 硬件/软件安全要求
    6. 2.6 依赖性故障分析
  6. 3OBC 系统的 FuSa 元件
    1. 3.1 元件概述
    2. 3.2 微控制器
      1. 3.2.1 CPU
      2. 3.2.2 ADC 采样
      3. 3.2.3 PWM 生成
      4. 3.2.4 CMPSS
      5. 3.2.5 数据传输
      6. 3.2.6 故障信号监控及安全状态控制
    3. 3.3 电源管理 IC
      1. 3.3.1 MCU 监测器
      2. 3.3.2 关断序列
      3. 3.3.3 电源
    4. 3.4 系统基础芯片
      1. 3.4.1 CAN 通信
      2. 3.4.2 电源电压轨监控
      3. 3.4.3 SPI/处理器通信
      4. 3.4.4 器件内部 EEPROM
    5. 3.5 电源和监控器
    6. 3.6 栅极驱动器
    7. 3.7 电压传感器
    8. 3.8 电流传感器
    9. 3.9 温度传感器
  7. 4总结
  8. 5参考资料

2.3 功能安全概念

在制定 FuSa 目标后,下一阶段是开发 FSC。系统方框图如图 2-5 所示,它比项定义中的方框图深一级。目标是在初步架构图上定义子功能元素及互连。

FSR 级系统方框图图 2-5 FSR 级系统方框图

为了简化分析,选择 SG2 作为示例。图 2-6 是与 SG2 相关的更深一级的方框图,相关子功能元素和交互在表 2-9中进行了定义。

SG2 的 FSR 级系统方框图图 2-6 SG2 的 FSR 级系统方框图
表 2-9 SG2 的子功能元素及交互
元素 ID 元素名称 说明
E1 直流输出电流测量电路 测量用于恒流控制及过流保护的 OBC 输出电流。
E2 交流输入电流测量电路 测量 OBC 输入电流以进行交流电流控制及过流保护。
E3 微控制器电路 执行充电器控制算法、监控传感器数据、生成 PWM 信号并且与车辆的 BMS/VCU 通信。
E4 栅极驱动器电路 提供电源开关所需的电压和大电流驱动信号。
E5 TPLD 电路 可编程逻辑器件,其特征是具有组合逻辑的电源开关关闭序列。
E6 CAN 收发器电路 与 BMS/VCU 交换状态和诊断信息。
E7 PMIC 电路 为关键器件提供电源,并对关键电压轨进行电压监控。这也为 MCU 提供了外部看门狗及错误引脚监控器。
E8 温度测量电路 监测电源开关的结温、变压器温度及转换器的环境温度。

执行 FTA 以生成 SG2 的 FSR。FTA 分析分成三个步骤。第一步是创建将 SG2 违例作为顶部事件的故障树,然后第二步是推导定义的子功能元件的每个潜在故障,这些故障会导致顶部事件发生,接着第三步是使用逻辑门来表示事件之间的关系。

按照上述步骤,FTA 树如图 2-7 所示。必须确定关键故障路径以进行割集分析。如果 SPF 直接违反 FuSa 目标,则必须设计 FSR;如果 SPF 未直接违反 FuSa 目标,则有必要确定双点失效系统是否可接受并分析两点失效的独立性。

对于 SG 的 FTA 分析,在 FSR 级别,其可以在部件处终止,同时必须在 TSR 级别进行更详细的分析。如图 2-7 所示,如果存在电流检测异常、控制故障或电源问题,则违反 SG2。然后可以将其细分为不同的元件。

  • 电流传感器故障或者用于过流保护的分立式比较器上的任何故障可能会导致电流检测不正确。
  • 错误的控制命令可能会由许多元件引起。它可能是由于与 VCU 通信(充电命令不正确或无法报告故障状态)所导致。它可能由 MCU 发出的错误控制信号引起。它可能由栅极驱动器的驱动波形不正确造成。它可能由故障反应路径中分立式逻辑元件上的任何故障引起。
  • 电源故障会导致关键元件发生故障,包括 MCU、栅极驱动器、传感器、电压基准。
SG2 的 FTA 树示例图 2-7 SG2 的 FTA 树示例

割集是一种逻辑分析,于确定导致顶部栅极条件失败的栅极/事件组合集。

  • 1 阶割集。只有一个事件可以导致顶部事件发生。这些事件转换为具有 FTTI 要求的 FSR。
  • 2 阶割集。同时发生的两个事件可能会导致最重要的事件发生。这些事件将转换成符合 MPFHTI 要求的 FSR。
  • 2 阶以上割集。同时发生两个以上的事件可能导致最重要的事件发生。这些事件不会转换成 FSR。

每个 FSR 都必须分配至负责实现的逻辑块。如果 FSR 跨越多个块,则必须列出所有相关子系统。表 2-10 列出了一组简明的用于支持目标的 FSR,该目标即避免由于直流母线过流而导致车辆起火

表 2-10 SG2 的示例 FSR
SG2:避免由于直流母线过流而导致车辆起火。
ID FSR 安全状态 分配 ASIL 跟踪至
FSR 2.1 直流总线电流检测系统应执行精确的电流测量。 将 OC 标志置为有效以发送至 MCU。 E1 及 SW B GT4
FSR 2.2 TCAN 应在 OBC 与 VCU 之间执行正确的通信。 将 OC 状态发送至 VCU。 E6 及 SW B GT6
FSR 2.3 MCU 应执行正确的控制方案。 切换到紧急操作模式。 E3 及 SW B GT7
FSR 2.4 栅极驱动器应当正确驱动电源开关。 禁用电源开关。 E4 B GT8
FSR 2.5 辅助电源应向关键元件提供可靠电压。 提供可靠电压轨。 E7 B GT3