在制定 FuSa 目標(biāo)后，下一階段是開(kāi)發(fā) FSC。系統(tǒng)方框圖如圖 2-5 所示，它比項(xiàng)定義中的方框圖深一級(jí)。目標(biāo)是在初步架構(gòu)圖上定義子功能元素及互連。

為了簡(jiǎn)化分析，選擇 SG2 作為示例。圖 2-6 是與 SG2 相關(guān)的更深一級(jí)的方框圖，相關(guān)子功能元素和交互在表 2-9中進(jìn)行了定義。

執(zhí)行 FTA 以生成 SG2 的 FSR。FTA 分析分成三個(gè)步驟。第一步是創(chuàng)建將 SG2 違例作為頂部事件的故障樹(shù)，然后第二步是推導(dǎo)定義的子功能元件的每個(gè)潛在故障，這些故障會(huì)導(dǎo)致頂部事件發(fā)生，接著第三步是使用邏輯門來(lái)表示事件之間的關(guān)系。

按照上述步驟，F(xiàn)TA 樹(shù)如圖 2-7 所示。必須確定關(guān)鍵故障路徑以進(jìn)行割集分析。如果 SPF 直接違反 FuSa 目標(biāo)，則必須設(shè)計(jì) FSR；如果 SPF 未直接違反 FuSa 目標(biāo)，則有必要確定雙點(diǎn)失效系統(tǒng)是否可接受并分析兩點(diǎn)失效的獨(dú)立性。

對(duì)于 SG 的 FTA 分析，在 FSR 級(jí)別，其可以在部件處終止，同時(shí)必須在 TSR 級(jí)別進(jìn)行更詳細(xì)的分析。如圖 2-7 所示，如果存在電流檢測(cè)異常、控制故障或電源問(wèn)題，則違反 SG2。然后可以將其細(xì)分為不同的元件。

• 電流傳感器故障或者用于過(guò)流保護(hù)的分立式比較器上的任何故障可能會(huì)導(dǎo)致電流檢測(cè)不正確。
• 錯(cuò)誤的控制命令可能會(huì)由許多元件引起。它可能是由于與 VCU 通信（充電命令不正確或無(wú)法報(bào)告故障狀態(tài)）所導(dǎo)致。它可能由 MCU 發(fā)出的錯(cuò)誤控制信號(hào)引起。它可能由柵極驅(qū)動(dòng)器的驅(qū)動(dòng)波形不正確造成。它可能由故障反應(yīng)路徑中分立式邏輯元件上的任何故障引起。
• 電源故障會(huì)導(dǎo)致關(guān)鍵元件發(fā)生故障，包括 MCU、柵極驅(qū)動(dòng)器、傳感器、電壓基準(zhǔn)。

割集是一種邏輯分析，于確定導(dǎo)致頂部柵極條件失敗的柵極/事件組合集。

• 1 階割集。只有一個(gè)事件可以導(dǎo)致頂部事件發(fā)生。這些事件轉(zhuǎn)換為具有 FTTI 要求的 FSR。
• 2 階割集。同時(shí)發(fā)生的兩個(gè)事件可能會(huì)導(dǎo)致最重要的事件發(fā)生。這些事件將轉(zhuǎn)換成符合 MPFHTI 要求的 FSR。
• 2 階以上割集。同時(shí)發(fā)生兩個(gè)以上的事件可能導(dǎo)致最重要的事件發(fā)生。這些事件不會(huì)轉(zhuǎn)換成 FSR。

每個(gè) FSR 都必須分配至負(fù)責(zé)實(shí)現(xiàn)的邏輯塊。如果 FSR 跨越多個(gè)塊，則必須列出所有相關(guān)子系統(tǒng)。表 2-10 列出了一組簡(jiǎn)明的用于支持目標(biāo)的 FSR，該目標(biāo)即避免由于直流母線過(guò)流而導(dǎo)致車輛起火。