一旦 FSC 建立，下一階段將創(chuàng)建 TSC。TSC 將 FSC 轉(zhuǎn)換為具體的 TSR。建議執(zhí)行 FMEA 來生成 TSR。對于關(guān)鍵元件，分析確認(rèn)：

• 必須通過安全機制檢測失效模式。
• 故障檢測和安全狀態(tài)轉(zhuǎn)換的響應(yīng)時間就已足夠。
• 診斷覆蓋率滿足 ASIL 要求。

SG2 的 TSR 級別系統(tǒng)方框圖如圖 2-8 所示，比 FSC 架構(gòu)更深一級。在圖 2-8中，設(shè)計了子功能元素的設(shè)計和互連?；颈Ｗo路徑以紅色表示。當(dāng)發(fā)生過流時，來自電流傳感器的 OC 標(biāo)志會饋送到 MCU。在檢測到 OC 標(biāo)志時，MCU 會執(zhí)行特定的關(guān)斷序列，并會觸發(fā) PWM 以驗證可靠關(guān)斷。

對于每個 FSR，必須構(gòu)建 FMEA 以識別故障模式、故障影響及故障原因。故障路徑可以分為三類：

• 單點故障 (SPF)：故障直接違反 FuSa 目標(biāo)。
• 兩點故障 (DPF)：當(dāng)與另一個獨立故障結(jié)合使用時，故障違反 FuSa 目標(biāo)。
• 安全故障 (SF)：故障不能違反 FuSa 目標(biāo)，該目標(biāo)既可以被檢測到，也可能在本質(zhì)上安全。

對于可能違反 FuSa 目標(biāo)（包括 SPF 和 DPF）的每個故障，都設(shè)計了一種安全機制。表 2-11中列出了 FMEA 表。

在表 2-11中，安全機制一般可分為檢測機制和控制機制。檢測機制包括但不限于合理性檢查、冗余檢測、診斷測試及監(jiān)測?？刂茩C制涉及但不限于安全狀態(tài)轉(zhuǎn)換、故障反應(yīng)、警告生成及系統(tǒng)關(guān)斷。

對于 SG2 – 避免車輛因直流母線過流而起火，以系統(tǒng)子元件直流輸出電流測量電路為例。對于電流測量電路，電流傳感器應(yīng)具有 OC 輸出功能，可在檢測到過流時將 OC 標(biāo)志置為有效。傳感器必須有足夠的帶寬或者響應(yīng)時間來捕獲快速故障瞬變。

對于電流傳感器 OC 功能上的 SPF，它可能會導(dǎo)致 OC 無法正確觸發(fā)。最直接的方法是使用冗余過流檢測電路。外部隔離式比較器可以用作第二個信號鏈。隔離式比較器的輸出可以與電流傳感器的 OC 輸出進行邏輯或運算，因此可以覆蓋電流檢測電路上的 SPF。

但是，額外的元件會導(dǎo)致成本增加。MCU 中的比較器子系統(tǒng) (CMPSS) 模塊可以用作冗余 OC 檢測。CMPSS 通過數(shù)字濾波選項來提供模擬比較功能。電流傳感器的模擬輸出被饋送到 CMPSS 模塊，在與 MCU 內(nèi)部的電壓閾值進行比較后，這可以確定系統(tǒng)是否處于過流狀態(tài)。在電流測量電路上，這種安全機制被定義為 SPF 的 SM1。

SM1 的前提是電流傳感器的模擬輸出是準(zhǔn)確的，因此應(yīng)監(jiān)測電流傳感器模擬輸出的精度。這可通過合理性檢查來實現(xiàn)。根據(jù)矩陣轉(zhuǎn)換器輸入和輸出之間的瞬態(tài)功率平衡，可以將直流輸出電流測量值與 OBC 交流輸入上現(xiàn)有的電流測量值進行比較?？紤]到交流電壓下降或電池電壓過低，合理性檢查時必須比較輸入和輸出功率，而不是比較電流。在確定合理性檢查的閾值時，還必須考慮無功功率和效率。交流側(cè)傳感器的讀數(shù)提供了一個二次驗證路徑，而無需添加額外的直流總線傳感器。在電流測量電路上，這種安全機制被定義為 DPF 的 SM2。

電流測量電路的安全機制如圖 2-9 所示。

對于表 2-11中的其他系統(tǒng)子要素，此處不詳細(xì)分析；僅列出了一些功能安全機制。

• CAN 與 VCU 通信。對于 CAN 收發(fā)器，它應(yīng)在 OBC 和 VCU 之間建立并保持可靠的雙向通信。這個關(guān)鍵接口使 VCU 能夠向 OBC 傳輸充電參數(shù)和命令，同時允許 OBC 向 VCU 報告運行狀態(tài)和故障狀態(tài)。
  • SM1：集成 CAN 收發(fā)器診斷。它使微控制器能夠持續(xù)評估 CAN 收發(fā)器的運行狀況及系統(tǒng)完整性。這些集成式診斷功能包括欠壓檢測、CAN 總線故障識別、軟件看門狗計時器監(jiān)控、電池連接檢測、熱保護、驅(qū)動器顯性狀態(tài)超時及全面的總線故障保護功能。
  • SM2：高級端到端 (E2E) 保護功能。它們在協(xié)議級別實現(xiàn)以檢測潛在通信故障。這些技術(shù)包括通過 CRC 校驗和進行的消息完整性驗證、用于檢測缺失消息的序列計數(shù)器，以及用于識別通信時序異常的時間戳。即使硬件級診斷無法直接檢測某些故障情況，這種分層方法也會驗證可靠的信息交換。
• 驅(qū)動器電源開關(guān)。對于柵極驅(qū)動器，它應(yīng)在檢測到故障時關(guān)閉電源開關(guān)，并且系統(tǒng)必須進入安全狀態(tài)。通常對于 OBC 應(yīng)用，使用沒有自診斷功能的標(biāo)準(zhǔn)隔離式柵極驅(qū)動器。如果同時關(guān)閉電源開關(guān)，由于單級 OBC 沒有續(xù)流路徑，這可能會導(dǎo)致電源開關(guān)中出現(xiàn)明顯的電壓尖峰。
  • SM1：用于禁用柵極驅(qū)動器的獨立 TLPD 電路。對于使用 PWM 關(guān)斷的方法，如果信號鏈或輸入引腳中有 SPF，電源開關(guān)關(guān)閉將違反指定的序列。TPLD 是一款可編程邏輯器件，具有電源開關(guān)和組合邏輯關(guān)閉序列。這種純硬件路徑獨立于任何軟件執(zhí)行。TPLD 電路的輸出端連接到柵極驅(qū)動器的 EN 引腳，因此可以涵蓋 PWM 信號鏈上的 SPF。
  • SM2：切斷接觸器，作為獨立的故障反應(yīng)。如果驅(qū)動器的次級側(cè)有 SPF，則無法可靠地關(guān)斷電源開關(guān)。對于這種情況，通過關(guān)閉 OBC 輸入和輸出上的接觸器，OBC 可以與輸入和輸出接口斷開連接。

• 電壓電源。PMIC 為關(guān)鍵元件提供電壓電源。由于 PMIC 已經(jīng)是符合 FuSa 標(biāo)準(zhǔn)的元件，因此安全手冊中詳細(xì)說明了 FuSa 機制。下面列出了一些和電壓電源相關(guān)的典型 FuSa 機制。

• SM1：VSYS 上的冗余 OVLO/OVP 電壓監(jiān)控器。
• SM2：輸出電壓監(jiān)測。
• SM3：殘余電壓檢測。
• SM4：上電序列期間的 ABIST。
• SM5：VREG 和 VDD_1P8 上的冗余 UV/OVP 電壓監(jiān)控器。
• SM6：寄存器映射上的 CRC。
• MCU 執(zhí)行控制和保護。由于 MCU 已經(jīng)是符合 FuSa 標(biāo)準(zhǔn)的元件，因此安全手冊中詳細(xì)說明了 FuSa 機制。本應(yīng)用手冊的第 3.2 節(jié)將介紹一些相關(guān)安全機制。除了 MCU 的安全機制外，PMIC 還對 MCU 發(fā)揮監(jiān)控作用。下面列出了一些典型的 MCU 監(jiān)控相關(guān) FuSa 機制。
  • SM1：MCU 錯誤監(jiān)控器。
  • SM2：數(shù)字輸出引腳回讀（nINT/GPIO 和 GPIO）
  • SM3：實現(xiàn)獨立的看門狗功能，以檢測軟件執(zhí)行故障。

總之，采用多層安全機制來驗證是否不違反這一安全目標(biāo)。執(zhí)行合理性檢查和冗余，以提供可靠的故障識別。獨立的保護路徑為任何過電流事件提供糾正措施。全面的診斷驗證在潛在故障成為安全關(guān)鍵故障之前的早期檢測能力。

SPF 的安全機制必須轉(zhuǎn)換為具有 FHTI 要求的 TSR，DPF 的安全機制必須轉(zhuǎn)換為具有 MPFHTI 要求的 TSR。表 2-12 示出了與電流傳感器相關(guān)的 FSR 的 TSR 示例。當(dāng)多個 FSR 要求相同的硬件或軟件功能時，相關(guān)要求將合并到一個 TSR 中。每個 TSR 都會繼承源 FSR 的 ASIL?B，并且需要 FTTI 滿足分組 FSR 中最嚴(yán)格的時序限制。

所有 TSR 均可追溯至原 FSR，攜帶相同的 ASIL?B 分類，并遵循安全目標(biāo)避免由于直流母線過流而導(dǎo)致車輛起火 所要求的 FTTI。