一旦 FSC 建立，下一階段將創(chuàng)建 TSC。TSC 將 FSC 轉(zhuǎn)換為具體的 TSR。建議執(zhí)行 FMEA 來生成 TSR。對(duì)于關(guān)鍵元件，分析確認(rèn)：

• 必須通過安全機(jī)制檢測(cè)失效模式。
• 故障檢測(cè)和安全狀態(tài)轉(zhuǎn)換的響應(yīng)時(shí)間就已足夠。
• 診斷覆蓋率滿足 ASIL 要求。

SG2 的 TSR 級(jí)別系統(tǒng)方框圖如圖 2-8 所示，比 FSC 架構(gòu)更深一級(jí)。在圖 2-8中，設(shè)計(jì)了子功能元素的設(shè)計(jì)和互連。基本保護(hù)路徑以紅色表示。當(dāng)發(fā)生過流時(shí)，來自電流傳感器的 OC 標(biāo)志會(huì)饋送到 MCU。在檢測(cè)到 OC 標(biāo)志時(shí)，MCU 會(huì)執(zhí)行特定的關(guān)斷序列，并會(huì)觸發(fā) PWM 以驗(yàn)證可靠關(guān)斷。

對(duì)于每個(gè) FSR，必須構(gòu)建 FMEA 以識(shí)別故障模式、故障影響及故障原因。故障路徑可以分為三類：

• 單點(diǎn)故障 (SPF)：故障直接違反 FuSa 目標(biāo)。
• 兩點(diǎn)故障 (DPF)：當(dāng)與另一個(gè)獨(dú)立故障結(jié)合使用時(shí)，故障違反 FuSa 目標(biāo)。
• 安全故障 (SF)：故障不能違反 FuSa 目標(biāo)，該目標(biāo)既可以被檢測(cè)到，也可能在本質(zhì)上安全。

對(duì)于可能違反 FuSa 目標(biāo)（包括 SPF 和 DPF）的每個(gè)故障，都設(shè)計(jì)了一種安全機(jī)制。表 2-11中列出了 FMEA 表。

在表 2-11中，安全機(jī)制一般可分為檢測(cè)機(jī)制和控制機(jī)制。檢測(cè)機(jī)制包括但不限于合理性檢查、冗余檢測(cè)、診斷測(cè)試及監(jiān)測(cè)?？刂茩C(jī)制涉及但不限于安全狀態(tài)轉(zhuǎn)換、故障反應(yīng)、警告生成及系統(tǒng)關(guān)斷。

對(duì)于 SG2 – 避免車輛因直流母線過流而起火，以系統(tǒng)子元件直流輸出電流測(cè)量電路為例。對(duì)于電流測(cè)量電路，電流傳感器應(yīng)具有 OC 輸出功能，可在檢測(cè)到過流時(shí)將 OC 標(biāo)志置為有效。傳感器必須有足夠的帶寬或者響應(yīng)時(shí)間來捕獲快速故障瞬變。

對(duì)于電流傳感器 OC 功能上的 SPF，它可能會(huì)導(dǎo)致 OC 無法正確觸發(fā)。最直接的方法是使用冗余過流檢測(cè)電路。外部隔離式比較器可以用作第二個(gè)信號(hào)鏈。隔離式比較器的輸出可以與電流傳感器的 OC 輸出進(jìn)行邏輯或運(yùn)算，因此可以覆蓋電流檢測(cè)電路上的 SPF。

但是，額外的元件會(huì)導(dǎo)致成本增加。MCU 中的比較器子系統(tǒng) (CMPSS) 模塊可以用作冗余 OC 檢測(cè)。CMPSS 通過數(shù)字濾波選項(xiàng)來提供模擬比較功能。電流傳感器的模擬輸出被饋送到 CMPSS 模塊，在與 MCU 內(nèi)部的電壓閾值進(jìn)行比較后，這可以確定系統(tǒng)是否處于過流狀態(tài)。在電流測(cè)量電路上，這種安全機(jī)制被定義為 SPF 的 SM1。

SM1 的前提是電流傳感器的模擬輸出是準(zhǔn)確的，因此應(yīng)監(jiān)測(cè)電流傳感器模擬輸出的精度。這可通過合理性檢查來實(shí)現(xiàn)。根據(jù)矩陣轉(zhuǎn)換器輸入和輸出之間的瞬態(tài)功率平衡，可以將直流輸出電流測(cè)量值與 OBC 交流輸入上現(xiàn)有的電流測(cè)量值進(jìn)行比較。考慮到交流電壓下降或電池電壓過低，合理性檢查時(shí)必須比較輸入和輸出功率，而不是比較電流。在確定合理性檢查的閾值時(shí)，還必須考慮無功功率和效率。交流側(cè)傳感器的讀數(shù)提供了一個(gè)二次驗(yàn)證路徑，而無需添加額外的直流總線傳感器。在電流測(cè)量電路上，這種安全機(jī)制被定義為 DPF 的 SM2。

電流測(cè)量電路的安全機(jī)制如圖 2-9 所示。

對(duì)于表 2-11中的其他系統(tǒng)子要素，此處不詳細(xì)分析；僅列出了一些功能安全機(jī)制。

• CAN 與 VCU 通信。對(duì)于 CAN 收發(fā)器，它應(yīng)在 OBC 和 VCU 之間建立并保持可靠的雙向通信。這個(gè)關(guān)鍵接口使 VCU 能夠向 OBC 傳輸充電參數(shù)和命令，同時(shí)允許 OBC 向 VCU 報(bào)告運(yùn)行狀態(tài)和故障狀態(tài)。
  • SM1：集成 CAN 收發(fā)器診斷。它使微控制器能夠持續(xù)評(píng)估 CAN 收發(fā)器的運(yùn)行狀況及系統(tǒng)完整性。這些集成式診斷功能包括欠壓檢測(cè)、CAN 總線故障識(shí)別、軟件看門狗計(jì)時(shí)器監(jiān)控、電池連接檢測(cè)、熱保護(hù)、驅(qū)動(dòng)器顯性狀態(tài)超時(shí)及全面的總線故障保護(hù)功能。
  • SM2：高級(jí)端到端 (E2E) 保護(hù)功能。它們?cè)趨f(xié)議級(jí)別實(shí)現(xiàn)以檢測(cè)潛在通信故障。這些技術(shù)包括通過 CRC 校驗(yàn)和進(jìn)行的消息完整性驗(yàn)證、用于檢測(cè)缺失消息的序列計(jì)數(shù)器，以及用于識(shí)別通信時(shí)序異常的時(shí)間戳。即使硬件級(jí)診斷無法直接檢測(cè)某些故障情況，這種分層方法也會(huì)驗(yàn)證可靠的信息交換。
• 驅(qū)動(dòng)器電源開關(guān)。對(duì)于柵極驅(qū)動(dòng)器，它應(yīng)在檢測(cè)到故障時(shí)關(guān)閉電源開關(guān)，并且系統(tǒng)必須進(jìn)入安全狀態(tài)。通常對(duì)于 OBC 應(yīng)用，使用沒有自診斷功能的標(biāo)準(zhǔn)隔離式柵極驅(qū)動(dòng)器。如果同時(shí)關(guān)閉電源開關(guān)，由于單級(jí) OBC 沒有續(xù)流路徑，這可能會(huì)導(dǎo)致電源開關(guān)中出現(xiàn)明顯的電壓尖峰。
  • SM1：用于禁用柵極驅(qū)動(dòng)器的獨(dú)立 TLPD 電路。對(duì)于使用 PWM 關(guān)斷的方法，如果信號(hào)鏈或輸入引腳中有 SPF，電源開關(guān)關(guān)閉將違反指定的序列。TPLD 是一款可編程邏輯器件，具有電源開關(guān)和組合邏輯關(guān)閉序列。這種純硬件路徑獨(dú)立于任何軟件執(zhí)行。TPLD 電路的輸出端連接到柵極驅(qū)動(dòng)器的 EN 引腳，因此可以涵蓋 PWM 信號(hào)鏈上的 SPF。
  • SM2：切斷接觸器，作為獨(dú)立的故障反應(yīng)。如果驅(qū)動(dòng)器的次級(jí)側(cè)有 SPF，則無法可靠地關(guān)斷電源開關(guān)。對(duì)于這種情況，通過關(guān)閉 OBC 輸入和輸出上的接觸器，OBC 可以與輸入和輸出接口斷開連接。

• 電壓電源。PMIC 為關(guān)鍵元件提供電壓電源。由于 PMIC 已經(jīng)是符合 FuSa 標(biāo)準(zhǔn)的元件，因此安全手冊(cè)中詳細(xì)說明了 FuSa 機(jī)制。下面列出了一些和電壓電源相關(guān)的典型 FuSa 機(jī)制。

• SM1：VSYS 上的冗余 OVLO/OVP 電壓監(jiān)控器。
• SM2：輸出電壓監(jiān)測(cè)。
• SM3：殘余電壓檢測(cè)。
• SM4：上電序列期間的 ABIST。
• SM5：VREG 和 VDD_1P8 上的冗余 UV/OVP 電壓監(jiān)控器。
• SM6：寄存器映射上的 CRC。
• MCU 執(zhí)行控制和保護(hù)。由于 MCU 已經(jīng)是符合 FuSa 標(biāo)準(zhǔn)的元件，因此安全手冊(cè)中詳細(xì)說明了 FuSa 機(jī)制。本應(yīng)用手冊(cè)的第 3.2 節(jié)將介紹一些相關(guān)安全機(jī)制。除了 MCU 的安全機(jī)制外，PMIC 還對(duì) MCU 發(fā)揮監(jiān)控作用。下面列出了一些典型的 MCU 監(jiān)控相關(guān) FuSa 機(jī)制。
  • SM1：MCU 錯(cuò)誤監(jiān)控器。
  • SM2：數(shù)字輸出引腳回讀（nINT/GPIO 和 GPIO）
  • SM3：實(shí)現(xiàn)獨(dú)立的看門狗功能，以檢測(cè)軟件執(zhí)行故障。

總之，采用多層安全機(jī)制來驗(yàn)證是否不違反這一安全目標(biāo)。執(zhí)行合理性檢查和冗余，以提供可靠的故障識(shí)別。獨(dú)立的保護(hù)路徑為任何過電流事件提供糾正措施。全面的診斷驗(yàn)證在潛在故障成為安全關(guān)鍵故障之前的早期檢測(cè)能力。

SPF 的安全機(jī)制必須轉(zhuǎn)換為具有 FHTI 要求的 TSR，DPF 的安全機(jī)制必須轉(zhuǎn)換為具有 MPFHTI 要求的 TSR。表 2-12 示出了與電流傳感器相關(guān)的 FSR 的 TSR 示例。當(dāng)多個(gè) FSR 要求相同的硬件或軟件功能時(shí)，相關(guān)要求將合并到一個(gè) TSR 中。每個(gè) TSR 都會(huì)繼承源 FSR 的 ASIL?B，并且需要 FTTI 滿足分組 FSR 中最嚴(yán)格的時(shí)序限制。

所有 TSR 均可追溯至原 FSR，攜帶相同的 ASIL?B 分類，并遵循安全目標(biāo)避免由于直流母線過流而導(dǎo)致車輛起火 所要求的 FTTI。