ZHDS036 January 2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1
2.5 硬件/软件安全要求
TSR 建立后,下一个阶段是将其转换为 HSR 和 FSR。每个 HSR/SSR 均继承其父 TSR 的 ASIL‑B,并遵循组中限制性最高的 FSR 规定的 FTTI。HSR 定义了必须内置于电流检测前端的硬件特性;SSR 定义了必须对所测量信号执行的软件操作,以满足时序和检测标准。
依据表 2-12,电流传感器必须能够以足够的带宽或响应时间指示短路情况,并且还包括自我诊断功能。出于这些原因,在 OBC 应用中选择了 TMCS1133‑Q1 作为电流传感器,并将其放置在 PFC 级的输入侧和 DCDC 级的输出侧。引脚图如图 2-10 所示。也可以使用另一种基于分流器的电流检测方法,但在这种情况下,HSR 和 FSR 是不同的,本文档不对此进行介绍。
图 2-10 TMCS1133-Q1 引脚图在表 2-12中,TSR‑CS‑1、TSR-CS-2 和 TSR-CS-3 分配给电流传感器,TSR-CS-4 和 TSR-CS-5 分配给 MCU。表 2-13和表 2-14是实现这些追溯到 FSR 2.1 的 TSR 的 HSR 及 SSR 示例。
| ID | HSR | ASIL | 跟踪至 |
|---|---|---|---|
| HSR-CS-1A | 霍尔传感器的带宽应大于 200kHz,VOUT 滤波器的截止频率也应大于 200kHz。 | B | TSR-CS-1 |
| HSR-CS-1B | 霍尔传感器应具有至少 40A 的检测范围。 | B | TSR-CS-1 |
| HSR-CS-2A | 霍尔传感器应具有用于自检的 FLT 引脚,并在 100ms 内向 MCU 报告故障。 | B | TSR-CS-2 |
| HSR-CS-2B | 霍尔传感器 FLT 引脚应连接至 DSP 以报告故障。 | B | TSR-CS-2 |
| HSR-CS-3A | 霍尔传感器 VOC 引脚应将 OC 阈值设置为比最大电流高 20%。 | B | TSR-CS-3 |
| HSR-CS-3B | 当检测到过流时,霍尔传感器 OC 引脚应在 0.5us 内将 OC 标志置为有效。 | B | TSR-CS-3 |
| HSR-CS-3C | 霍尔传感器 OC 滤波器的截止频率应该大于 1MHz | B | TSR-CS-3 |
| HSR-CS-4A | 交流侧电流传感器的 VOUT 应连接到独立 MCU ADC 通道。 | B | TSR-CS-4 |
| ID | SSR | ASIL | 跟踪至 |
|---|---|---|---|
| SSR-CS-1A | MCU 应该以 100kHz 的频率对霍尔传感器输出进行采样。 | B | TSR-CS-1 |
| SSR-CS-1B | MCU 应该实现加电霍尔传感器偏移校准。 | B | TSR-CS-1 |
| SSR-CS-2A | MCU 应该根据 FLT 的占空比识别不同类型的警报。 | B | TSR-CS-2 |
| SSR-CS-2B | 如果检测到传感器警报,MCU 应进行合理性检查 | B | TSR-CS-2 |
| SSR-CS-4A | MCU 应该以 10kHz 的频率执行合理性检查算法,以计算两个传感器读数的绝对差值 | B | TSR-CS-4 |
| SSR-CS-4B | 如果连续三次采样的差值大于 20%,MCU 应该在 2ms 内将硬件故障置为有效 | B | TSR-CS-4 |
| SSR-CS-5A | MCU 应该将软件 OC 阈值设置为比最大电流高 10% | B | TSR-CS-5 |
| SSR-CS-5B | MCU 应该根据 ADC 值使用 CMPSS 模块执行 OC 检测。 | B | TSR-CS-5 |
| SSR-CS-5C | 如果检测到 OC,MCU 应该按特定顺序禁用 PWM 输出。 | B | TSR-CS-5 |
这些只是一小部分说明性案例。在实际的 OBC 工程中,系统集成商必须对每个 TSR 进行全面分析,然后继续执行后续步骤。
- 设计分配。将每个 HSR 和 SSR 分配给相应的团队。
- 可追溯性矩阵。整合 FTA 或 FMEA 方框图,将 FuSa 目标链接到 FSR、TSR,然后链接到 HSR 和 SSR。每个 HSR 和 SSR 都应当与其验证证据相关联。
- 验证计划。HSR 及 SSR 的验证和确认。提供表明已满足相关要求并证明符合 ASIL‑B 安全目标的测试报告。
在 OBC 系统中,一些模拟元件的 ASIL 等级为 QM。在 ASIL-B 系统中使用 QM 元件是可行的,但需要硬件元件评估。硬件要素评估表明 QM 元件不能干扰安全目标,或者额外的安全机制提供足够的诊断覆盖率来实现所需的 ASIL。
例如,TMCS1133-Q1 是一款支持 FuSa 的元件,选择该元件是为了满足 ASIL-B 要求。假设在直流输出侧将它用于电流检测和过流保护。TI 可提供以下内容来方便客户进行硬件元件评估。
- 所有失效模式。
- 每种失效模式的概率。
- 对于系统安全的影响。
所有上述信息都可在 TMCS1133-Q1 的 FuSa 文档中找到。客户应进行设计验证,包括分析和测试。所有故障模式均包括芯片失效模式与引脚失效模式。元件总时基故障率为 62,包括裸片时基故障率 (FIT) 26 和引脚时基故障率 (FIT) 36。表 2-15中列出了所有芯片失效模式和分布。
| 裸片失效模式 | 失效模式分布 (%) |
|---|---|
| VOUT 开路(高阻态) | 5 |
| VOUT 卡滞(高电平或低电平) | 30 |
| VOUT 功能不在规格范围内 | 30 |
| OC 误跳闸,跳闸失败 | 15 |
| ALERT 误跳闸,跳闸失败 | 20 |
引脚故障模式主要包括典型的逐引脚故障场景:
- 引脚对地短路。
- 引脚开路。
- 引脚对邻近引脚短路。
- 引脚对电源短路。
以引脚对地短路为例,对潜在失效影响的说明如表 2-16所示。失效影响类别指示这些引脚状况如何影响器件:
- A 类:器件可能会损坏,并使功能受损。
- B 类:器件未损坏,但功能丧失。
- C 类:器件未损坏,但性能下降。
- D 类:器件未损坏,功能和性能也未受到影响。
| 引脚名称 | 引脚编号 | 对潜在故障影响的说明 | 失效影响类别 |
|---|---|---|---|
| IN+ | 1 | 对于正向电流,绕过霍尔传感器,不会检测和放大信号。如果 IN+ 引脚具有高于 GND 的大电势,此状态会导致大量电流灌入。这可能会损坏输入电流系统电源、负载器件或实际器件,具体取决于布局和配置。 | A |
| IN- | 2 | 对于反向电流,绕过霍尔传感器,不会检测和放大信号。如果 IN-引脚处于高于 GND 的大电势,则此状态会导致大量电流灌入。这可能会损坏输入电流系统电源、负载器件或实际器件,具体取决于布局和配置 | A |
| GND | 3 | 正常运行。 | D |
| ALERT | 4 | 由于 ALERT 短接至 GND,因此无法触发警报 | B |
| NC | 5 | 正常运行 | D |
| VOUT | 6 | 输出被拉至 GND,并且输出电流受到短路限制。当处于此配置时,当 VS 连接到支持高负载的电源,并且在某些高负载条件下通过 IN+ 和 IN- 引脚时,芯片温度可能接近或超过 150°C。 | A |
| OC | 7 | 由于 OC 短接至 GND,因此无法触发警报。 | B |
| VOC | 8 | GND 处的阈值意味着所有电压都触发警报。因此,警报卡在工作模式下。 | B |
| VS | 9 | 电源对地短路。 | B |
| VS | 10 | 电源对地短路。 | B |
应根据安全机制进行诊断覆盖率计算,以显示 >90% 的检测。此评估确定此硬件元件可充分支持分配给它的安全要求。
最后,开发团队有一套完整、可追溯和可验证的具体安全要求,可以在单阶段 OBC 中实施,并在 ISO 26262: 2018 审核期间接受审查。