ZHDS036 January   2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1

 

  1.   1
  2.   摘要
  3.   商标
  4. 1简介
    1. 1.1 背景
    2. 1.2 硬件/软件 FuSa 分析流程
      1. 1.2.1 项目定义
      2. 1.2.2 功能安全目标
      3. 1.2.3 功能安全概念
      4. 1.2.4 技术安全概念
      5. 1.2.5 硬件/软件安全要求
      6. 1.2.6 依赖性故障分析
    3. 1.3 TI 配套资料
      1. 1.3.1 TI 元件类别
      2. 1.3.2 用于安全 MCU 的 FuSa 配套资料
  5. 2OBC 系统的 FuSa 概念
    1. 2.1 项目定义
      1. 2.1.1 项目功能
      2. 2.1.2 系统边界
      3. 2.1.3 外部接口
      4. 2.1.4 操作模式
    2. 2.2 功能安全目标
    3. 2.3 功能安全概念
    4. 2.4 技术安全概念
    5. 2.5 硬件/软件安全要求
    6. 2.6 依赖性故障分析
  6. 3OBC 系统的 FuSa 元件
    1. 3.1 元件概述
    2. 3.2 微控制器
      1. 3.2.1 CPU
      2. 3.2.2 ADC 采样
      3. 3.2.3 PWM 生成
      4. 3.2.4 CMPSS
      5. 3.2.5 数据传输
      6. 3.2.6 故障信号监控及安全状态控制
    3. 3.3 电源管理 IC
      1. 3.3.1 MCU 监测器
      2. 3.3.2 关断序列
      3. 3.3.3 电源
    4. 3.4 系统基础芯片
      1. 3.4.1 CAN 通信
      2. 3.4.2 电源电压轨监控
      3. 3.4.3 SPI/处理器通信
      4. 3.4.4 器件内部 EEPROM
    5. 3.5 电源和监控器
    6. 3.6 栅极驱动器
    7. 3.7 电压传感器
    8. 3.8 电流传感器
    9. 3.9 温度传感器
  7. 4总结
  8. 5参考资料

2.6 依赖性故障分析

应执行 DFA 来识别可能影响冗余的级联故障及共因故障。通过 DFA 分析确认了独立要求的其他 TSR。一般而言,DFA 分析确认:

  • 物理分离。冗余元件具有足够的物理分离,冗余信号路径具有不同的路由,并且关键元件之间具有热隔离。
  • 多元化。用于冗余功能的技术不同,关键元件的供应商不同,硬件和软件保护的实现方法不同。
  • 独立。用于冗余电路的独立电源,用于冗余功能的独立处理,以及用于安全机制的独立激活路径。

例如,如果 MCU 的辅助电源对地短路,合理性检查将无法检测到故障,软件相关的安全机制也将失去其功能。在这种情况下,电压监测是验证 OBC 进入安全状态的关键安全机制。