ZHDS036 January   2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1

 

  1.   1
  2.   摘要
  3.   商标
  4. 1简介
    1. 1.1 背景
    2. 1.2 硬件/软件 FuSa 分析流程
      1. 1.2.1 项目定义
      2. 1.2.2 功能安全目标
      3. 1.2.3 功能安全概念
      4. 1.2.4 技术安全概念
      5. 1.2.5 硬件/软件安全要求
      6. 1.2.6 依赖性故障分析
    3. 1.3 TI 配套资料
      1. 1.3.1 TI 元件类别
      2. 1.3.2 用于安全 MCU 的 FuSa 配套资料
  5. 2OBC 系统的 FuSa 概念
    1. 2.1 项目定义
      1. 2.1.1 项目功能
      2. 2.1.2 系统边界
      3. 2.1.3 外部接口
      4. 2.1.4 操作模式
    2. 2.2 功能安全目标
    3. 2.3 功能安全概念
    4. 2.4 技术安全概念
    5. 2.5 硬件/软件安全要求
    6. 2.6 依赖性故障分析
  6. 3OBC 系统的 FuSa 元件
    1. 3.1 元件概述
    2. 3.2 微控制器
      1. 3.2.1 CPU
      2. 3.2.2 ADC 采样
      3. 3.2.3 PWM 生成
      4. 3.2.4 CMPSS
      5. 3.2.5 数据传输
      6. 3.2.6 故障信号监控及安全状态控制
    3. 3.3 电源管理 IC
      1. 3.3.1 MCU 监测器
      2. 3.3.2 关断序列
      3. 3.3.3 电源
    4. 3.4 系统基础芯片
      1. 3.4.1 CAN 通信
      2. 3.4.2 电源电压轨监控
      3. 3.4.3 SPI/处理器通信
      4. 3.4.4 器件内部 EEPROM
    5. 3.5 电源和监控器
    6. 3.6 栅极驱动器
    7. 3.7 电压传感器
    8. 3.8 电流传感器
    9. 3.9 温度传感器
  7. 4总结
  8. 5参考资料

2.2 功能安全目标

在进行 HARA 之前,采用以下简化假设来限制分析范围:

  • 项目功能(第 2.1.1 节):OBC 采用单级矩阵转换器拓扑,主要功能包括功率转换、电压调节、电隔离、保护、通信和诊断。
  • 系统边界(第 2.1.2 节):仅 OBC 系统在范围内;不包括 HV-LV DC‑DC 转换器、PDU 和任何其他电子控制单元。
  • 外部接口(第 2.1.3 节):单个 MCU 控制 OBC。此 MCU 专用于 OBC 控制以及接合交流电源插座及 BMS/VCU。
  • 操作模式(第 2.1.4 节):主要功能是为高压电池充电,分析仅关注快速充电操作模式。

定义每一项的功能、流程和交互后,下一个阶段是 HARA。根据已建立的假设和分析,每个子系统中的任何错误行为都可能导致潜在的危险事件,例如直流过压、直流母线过流和热故障。

必须使用 ISO 26262 分别评估每种危险:2018 年严重性 (S)、暴露程度 (E) 及可控性 (C) 标准。以热故障为例:

  • 严重程度:热故障的最严重后果是车辆起火,这可能会导致危及生命或致命伤害。因此,该事件被分配给 S3。
  • 暴露程度:在 OBC 使用曲线中,充电器在车辆总运行时间的适度部分内处于活动状态。这对应于暴露等级 E3。
  • 可控性:当车辆在充电过程中处于静止状态时,驾驶员可以立即中断充电电路(例如,断开充电器或打开接触器)。因此,该事件被视为 C2。

根据表 1-3,组合 S3 – E3 – C2 对应于 ASIL‑B,因此热故障风险被指定为 ASIL‑B。

关于直流母线过流,这不会对高压电池产生重大影响,因为高压电池的最大充电电流远高于交流充电的电流。但是,过流会导致 OBC 输出侧的功率器件过热并因短路而发生故障。短路故障后,高压电池会形成一条通过 OBC 的低阻抗路径,从而可能导致严重的系统过热,在极端情况下可能导致车辆火灾。暴露程度及可控性水平与热失效相同。根据表 1-3,组合 S3–E3–C2 对应于 ASIL‑B,因此直流母线过流危险被指定为 ASIL‑B。

对于直流母线过压,它会导致 OBC 输出侧的功率器件出现过压击穿,并且过压也会对高压电池上的锂离子电池造成危险,这会进一步导致系统过热,甚至导致车辆起火。暴露程度及可控性水平与热失效相同。根据表 1-3,组合 S3–E3–C2 对应于 ASIL‑B,因此直流母线过压危险被指定为 ASIL‑B。

需要分析所有危险事件。由于该评估通常由系统集成商执行,因此此处不介绍每种危险的详细评估。HAZOP 是一种系统危险分析方法,可提供 7 个指导词。表 2-7 示出了 HARA 分析的示例。HAZOP 引导词用于故障行为。

表 2-7 单级 OBC 的 HARA 分析示例
ID 故障行为 潜在的车辆级别危险 S E C ASIL
H1 热量超出预期 过热导致车辆起火 S3 E3 C2 B
H2 直流母线电流超出请求值 OBC 短路导致的车辆火灾 S3 E3 C2 B
H3 直流母线电压超出请求值 OBC 短路导致的车辆火灾 S3 E3 C2 B
H4 电气干扰更多 杂散控制信号 S1 E3 C2 QM

对于表 2-7中从 ASIL A 到 ASIL D 的危险事件,必须至少确定一个安全目标。功能安全目标是满足安全状态要求的高层级、技术无关性陈述。

表 2-8 是 FuSa 目标的一个示例条目。FTTI 值必须得自危险分析和监管要求。以 SG1 为例,工作温度为 65°C,热故障临界温度为 155°C。对于一般温度上升速率 15°C / s,达到临界温度的时间为 6s。500ms FTTI 时间对于早期检测是保守的,以允许在级联故障之前进行早期干预。

表 2-8 单级 OBC 的 FuSa 目标示例
ID 安全目标 ASIL 安全状态 FTTI
SG1 避免车辆因热故障而起火。 B OBC 关断并切换至紧急操作模式。 由用户指定
SG2 避免由于直流母线过流而导致车辆起火。 B
SG3 避免由于直流母线过压而导致车辆起火。 B

安全状态要求规定了发生危险时必须触发的全系统响应。例如,SG1 至 SG3 的安全状态是 OBC 应切换到紧急操作模式,其中关键操作如下所示。与双级 OBC 不同,该架构不包含直流链路电容器,因此没有对直流链路电容器放电的操作。

  • 按顺序禁用栅极驱动器。
  • 打开所有接触器。
  • 将 OBC 输出总线放电至安全电压。
  • 记录故障状况。