TSR 建立后，下一個階段是將其轉換為 HSR 和 FSR。每個 HSR/SSR 均繼承其父 TSR 的 ASIL?B，并遵循組中限制性最高的 FSR 規(guī)定的 FTTI。HSR 定義了必須內置于電流檢測前端的硬件特性；SSR 定義了必須對所測量信號執(zhí)行的軟件操作，以滿足時序和檢測標準。

依據(jù)表 2-12，電流傳感器必須能夠以足夠的帶寬或響應時間指示短路情況，并且還包括自我診斷功能。出于這些原因，在 OBC 應用中選擇了 TMCS1133?Q1 作為電流傳感器，并將其放置在 PFC 級的輸入側和 DCDC 級的輸出側。引腳圖如圖 2-10 所示。也可以使用另一種基于分流器的電流檢測方法，但在這種情況下，HSR 和 FSR 是不同的，本文檔不對此進行介紹。

在表 2-12中，TSR?CS?1、TSR-CS-2 和 TSR-CS-3 分配給電流傳感器，TSR-CS-4 和 TSR-CS-5 分配給 MCU。表 2-13和表 2-14是實現(xiàn)這些追溯到 FSR 2.1 的 TSR 的 HSR 及 SSR 示例。

這些只是一小部分說明性案例。在實際的 OBC 工程中，系統(tǒng)集成商必須對每個 TSR 進行全面分析，然后繼續(xù)執(zhí)行后續(xù)步驟。

• 設計分配。將每個 HSR 和 SSR 分配給相應的團隊。
• 可追溯性矩陣。整合 FTA 或 FMEA 方框圖，將 FuSa 目標鏈接到 FSR、TSR，然后鏈接到 HSR 和 SSR。每個 HSR 和 SSR 都應當與其驗證證據(jù)相關聯(lián)。
• 驗證計劃。HSR 及 SSR 的驗證和確認。提供表明已滿足相關要求并證明符合 ASIL?B 安全目標的測試報告。

在 OBC 系統(tǒng)中，一些模擬元件的 ASIL 等級為 QM。在 ASIL-B 系統(tǒng)中使用 QM 元件是可行的，但需要硬件元件評估。硬件要素評估表明 QM 元件不能干擾安全目標，或者額外的安全機制提供足夠的診斷覆蓋率來實現(xiàn)所需的 ASIL。

例如，TMCS1133-Q1 是一款支持 FuSa 的元件，選擇該元件是為了滿足 ASIL-B 要求。假設在直流輸出側將它用于電流檢測和過流保護。TI 可提供以下內容來方便客戶進行硬件元件評估。

• 所有失效模式。
• 每種失效模式的概率。
• 對于系統(tǒng)安全的影響。

所有上述信息都可在 TMCS1133-Q1 的 FuSa 文檔中找到。客戶應進行設計驗證，包括分析和測試。所有故障模式均包括芯片失效模式與引腳失效模式。元件總時基故障率為 62，包括裸片時基故障率 (FIT) 26 和引腳時基故障率 (FIT) 36。表 2-15中列出了所有芯片失效模式和分布。

引腳故障模式主要包括典型的逐引腳故障場景：

• 引腳對地短路。
• 引腳開路。
• 引腳對鄰近引腳短路。
• 引腳對電源短路。

以引腳對地短路為例，對潛在失效影響的說明如表 2-16所示。失效影響類別指示這些引腳狀況如何影響器件：

• A 類：器件可能會損壞，并使功能受損。
• B 類：器件未損壞，但功能喪失。
• C 類：器件未損壞，但性能下降。
• D 類：器件未損壞，功能和性能也未受到影響。

應根據(jù)安全機制進行診斷覆蓋率計算，以顯示 >90% 的檢測。此評估確定此硬件元件可充分支持分配給它的安全要求。

最后，開發(fā)團隊有一套完整、可追溯和可驗證的具體安全要求，可以在單階段 OBC 中實施，并在 ISO 26262: 2018 審核期間接受審查。