ZHDS036 January   2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1

 

  1.   1
  2.   摘要
  3.   商标
  4. 1简介
    1. 1.1 背景
    2. 1.2 硬件/软件 FuSa 分析流程
      1. 1.2.1 项目定义
      2. 1.2.2 功能安全目标
      3. 1.2.3 功能安全概念
      4. 1.2.4 技术安全概念
      5. 1.2.5 硬件/软件安全要求
      6. 1.2.6 依赖性故障分析
    3. 1.3 TI 配套资料
      1. 1.3.1 TI 元件类别
      2. 1.3.2 用于安全 MCU 的 FuSa 配套资料
  5. 2OBC 系统的 FuSa 概念
    1. 2.1 项目定义
      1. 2.1.1 项目功能
      2. 2.1.2 系统边界
      3. 2.1.3 外部接口
      4. 2.1.4 操作模式
    2. 2.2 功能安全目标
    3. 2.3 功能安全概念
    4. 2.4 技术安全概念
    5. 2.5 硬件/软件安全要求
    6. 2.6 依赖性故障分析
  6. 3OBC 系统的 FuSa 元件
    1. 3.1 元件概述
    2. 3.2 微控制器
      1. 3.2.1 CPU
      2. 3.2.2 ADC 采样
      3. 3.2.3 PWM 生成
      4. 3.2.4 CMPSS
      5. 3.2.5 数据传输
      6. 3.2.6 故障信号监控及安全状态控制
    3. 3.3 电源管理 IC
      1. 3.3.1 MCU 监测器
      2. 3.3.2 关断序列
      3. 3.3.3 电源
    4. 3.4 系统基础芯片
      1. 3.4.1 CAN 通信
      2. 3.4.2 电源电压轨监控
      3. 3.4.3 SPI/处理器通信
      4. 3.4.4 器件内部 EEPROM
    5. 3.5 电源和监控器
    6. 3.6 栅极驱动器
    7. 3.7 电压传感器
    8. 3.8 电流传感器
    9. 3.9 温度传感器
  7. 4总结
  8. 5参考资料

1.2.1 项目定义

FuSa 设计的第一步是项目定义。该项目是将进行功能安全分析的顶级车辆功能或子系统。项目定义的目标为:

  • 定义和描述项目及其对环境和其他项目的依赖关系,以及与环境和其他项目的交互。

  • 帮助充分了解该项目,以便后续阶段的活动可以执行。

此步骤包含危险分析和风险评估 (HARA),这是一种将确定的功能危险转换为量化的汽车安全完整性等级 (ASIL) 和相应的安全目标的系统方法。HARA 流程为项目定义建立了明确的可追溯性,同时为所有后续安全活动提供基于风险的基础。HARA 的主要目标包括:

  • 识别该项目可能导致的全部潜在危险事件。

  • 通过详细分析每种危险的严重性、暴露概率和可控性因素,进行严格的风险评估。

  • 根据评估结果分配适当的 ASIL 分级。

可以使用失效模式和影响分析 (FMEA)、危险及可操作性研究 (HAZOP) 等技术或从过去的质量问题中吸取的经验教训来进行危险识别。然后,评估确定的每个危险事件的严重性 (S)、暴露程度 (E) 和可控性 (C),再分配 ASIL。每个事件的相应 ASIL 可以从表 1-3中所示的矩阵推导。

表 1-3 依据 ISO 26262 的 ASIL 等级
严重程度暴露可控性
C1(简单)C2(正常)C3(困难,无法控制)
S1(轻伤及中度伤害)E1(极低)QMQMQM
E2(低电平)QMQMQM
E3(中等值)QMQMA
E4(高电平)QMAB
S2(严重和危及生命的伤害 — 可能存活)E1(极低)QMQMQM
E2(低电平)QMQMA
E3(中等值)QMAB
E4(高电平)ABC
S3(危及生命的伤害 – 致命伤害)E1(极低)QMQMA
E2(低电平)QMAB
E3(中等值)ABC
E4(高电平)BCD