JADS034 January   2026 F29H850TU , F29H859TU-Q1 , TMCS1123 , TMCS1123-Q1 , TPS650362-Q1 , TPS650365-Q1

 

  1.   1
  2.   概要
  3.   商標
  4. 1はじめに
    1. 1.1 背景
    2. 1.2 HW/SW FuSa 分析プロセス
      1. 1.2.1 アイテムの定義
      2. 1.2.2 機能安全目標
      3. 1.2.3 機能安全コンセプト
      4. 1.2.4 技術的安全コンセプト
      5. 1.2.5 HW/SW の安全性要件
      6. 1.2.6 依存故障分析
    3. 1.3 TI の関連資料
      1. 1.3.1 TI 部品カテゴリ
      2. 1.3.2 安全マイコンの FuSa 関連資料
  5. 2OBC システムの FuSa の概念
    1. 2.1 アイテムの定義
      1. 2.1.1 アイテム関数
      2. 2.1.2 システム境界
      3. 2.1.3 外部インターフェイス
      4. 2.1.4 動作モード
    2. 2.2 機能安全目標
    3. 2.3 機能安全コンセプト
    4. 2.4 技術的安全コンセプト
    5. 2.5 HW/SW の安全性要件
    6. 2.6 依存故障分析
  6. 3OBC システムの FuSa 部品
    1. 3.1 部品の概要
    2. 3.2 マイコン
      1. 3.2.1 CPU
      2. 3.2.2 ADC サンプリング
      3. 3.2.3 PWM 生成
      4. 3.2.4 CMPSS
      5. 3.2.5 データ転送
      6. 3.2.6 故障信号モニタと安全状態制御
    3. 3.3 パワー マネジメント IC
      1. 3.3.1 MCU モニタ
      2. 3.3.2 シャットダウン シーケンス
      3. 3.3.3 電源
    4. 3.4 システム ベーシス チップ
      1. 3.4.1 CAN 通信
      2. 3.4.2 電源電圧レールの監視
      3. 3.4.3 SPI/プロセッサ通信
      4. 3.4.4 デバイス内蔵 EEPROM
    5. 3.5 電源とスーパーバイザ
    6. 3.6 ゲート ドライバ
    7. 3.7 電圧センサ
    8. 3.8 電流センサ
    9. 3.9 温度センサ
  7. 4まとめ
  8. 5参考資料

2.3 機能安全コンセプト

FuSa 目標を確立した後、次のフェーズとして FSC を策定します。図 2-5に、システム ブロック図を示します。これは、項目定義のブロック図よりも 1 レベル深いものです。目的は、予備的なアーキテクチャ図上で、サブ機能要素およびそれらの相互接続を定義することです。

FSR レベルのシステム ブロック図図 2-5 FSR レベルのシステム ブロック図

解析を簡単にするために、例として SG2 を選択します。図 2-6は SG2 に関連する 1 レベル深いブロック図であり、関連するサブ機能要素と相互作用は表 2-9で定義されています。

SG2 の FSR レベル システム ブロック図図 2-6 SG2 の FSR レベル システム ブロック図
表 2-9 SG2 のサブ機能要素および相互作用
要素 ID 要素名 説明
E1 DC 出力電流測定回路 定電流制御および過電流保護のために、OBC の出力電流を測定します。
E2 AC 入力電流測定回路 AC 電流制御および過電流保護のために、OBC の入力電流を測定します。
E3 マイコン回路 充電制御アルゴリズムを実行し、センサ データを監視し、PWM 信号を生成するとともに、車両の BMS/VCU と通信します。
E4 ゲート ドライバの回路 パワー スイッチに必要な電圧および大電流の駆動信号を提供します。
E5 TPLD 回路 組合せ論理により、パワー スイッチのオフシーケンスを実現するプログラマブル ロジック デバイスです。
E6 CAN トランシーバ回路 BMS/VCU とステータスおよび診断情報を交換します。
E7 PMIC 回路 主要デバイスに電源を供給し、主要な電圧レールの電圧監視を行います。これにより、マイコン向けの外部ウォッチドッグおよびエラー ピン監視も提供されます。
E8 温度測定回路 パワー スイッチのジャンクション温度、トランスの温度、およびコンバータの周囲温度を監視します。

FTA は SG2 の FSR を生成するために実行されます。FTA 分析は 3 つのステップで構成されています。最初のステップでは、SG2 の違反をトップイベントとする故障ツリーを作成します。2 番目のステップでは、トップ イベントの発生につながる、定義された各サブ機能要素の潜在的な誤動作を導出します。3 番目のステップでは、イベント間の関係を表すために論理ゲートを用います。

上記の手順に従って、図 2-7に FTA ツリーを示します。カットセット解析のために、クリティカルな故障パスを特定する必要があります。SPF が FuSa 目標を直接侵害する場合は、FSR を設計する必要があります。一方、SPF が FuSa 目標を直接侵害しない場合は、二重点故障システムが許容可能かどうかを判断し、あわせて二重点故障の独立性を分析する必要があります。

SG に対する FTA 解析では、FSR レベルでは部品で解析を打ち切ることができますが、TSR レベルでは、より詳細な解析を実施する必要があります。図 2-7に示すように、異常な電流検出、制御不良、または電源の問題が発生した場合、SG2 に違反します。その後、異なる成分に分解することができます。

  • 電流検出の誤動作は、電流センサの故障、または過電流保護用ディスクリート コンパレータの故障に起因する可能性があります。
  • 誤った制御コマンドは、複数の部品によって引き起こされる可能性があります。VCU との通信に起因する可能性があります (誤った充電コマンド、または故障状態の未報告)。マイコンからの制御信号が正しくないことが原因である可能性があります。ゲート ドライバからの不正な駆動波形によって発生する可能性があります。故障反応パス内のディスクリート ロジック部品におけるいずれかの故障によって発生する可能性があります。
  • 電源の故障は、マイコン、ゲート ドライバ、センサ、電圧リファレンスなどの主要部品の誤動作を引き起こす可能性があります。
SG2 の FTA ツリー例図 2-7 SG2 の FTA ツリー例

カットセットとは、トップ ゲートの条件が失敗する原因となる、ゲート/イベントの組み合わせの集合を特定するための論理解析です。

  • 一次カットセット。1 つのイベントのみでトップ イベントが発生します。これらのイベントは、FTTI 要件を持つ FSR に変換されます。
  • 二次カットセット。同時に 2 つのイベントが発生すると、上位のイベントが発生する可能性があります。これらのイベントは、MPFHTI 要求を含む FSR に変換されます。
  • 二次を超える次数のカットセット。2 つを超えるイベントが同時に発生することで、トップ イベントが発生します。これらのイベントは FSR に変換されません。

各 FSR は、実装を担当する論理ブロックに割り当てる必要があります。FSR が複数のブロックにまたがる場合は、関連するすべてのサブシステムを列挙する必要があります。表 2-10に、DC バスの過電流による車両の火災を防止する目標を支える FSR の簡潔なセットを示します。

表 2-10 SG2 向け FSR の例
SG2:DC バスの過電流による車両の火災を避けます。
ID FSR 安全状態 アロケーション ASIL トレース先
FSR 2.1 DC バス電流検出システムは、正確な電流測定を行うものとします。 OC フラグをマイコンにアサートします。 E1 と SW B GT4
FSR 2.2 TCAN は、OBC と VCU 間で正しい通信を行うものとします。 OC ステータスを VCU に送信します。 E6 と SW B GT6
FSR 2.3 マイコンは、正しい制御方式を実行するものとします。 緊急動作モードに切り替えます。 E3 と SW B GT7
FSR 2.4 ゲートドライバは、パワー スイッチを正しく駆動するものとします。 パワー スイッチを無効にします。 E4 B GT8
FSR 2.5 バイアス電源は、主要な部品に信頼性の高い電圧を供給するものとします。 信頼性の高い電圧レールを提供します。 E7 B GT3