MPC5744P + MC33907/08 集成 — ASIL D 完整 case study

PowerPC e200z425n3 是 dual-issue lockstep core:

• Sphere of Replication(SoR) — 完整冗余,包括 CPU / DMA / Interrupt Controller / Crossbar / MPU / Flash & RAM 控制器 / System Timer / Watchdog Timer / Register Protection
• RCCU(Redundancy Control and Checker Unit) — 每个 SoR 输出端比较两路结果
• ECC — Flash + RAM 单错纠正双错检测
• FCCU(Fault Collection and Control Unit) — 内部错误集中 + 外部 F[0]/F[1] 输出

LV/HV monitor 仅监测 1.2V core 和 3.3V supplies 的欠压(LVD),但 HVD 不存在于 3.3V 域 —— 必须外部 SBC 监测 3.3V 过压,这是 SAG_MPC5744P_042 的根源。

5 大子系统:

• Voltage regulators — 5 路独立(Vpre/Vcore/Vcca/Vaux/Vcan)
• Fail Safe Machine(FSM) — VS(Voltage Supervisor)+ FSSM(Fail Safe State Machine)+ FSO(Fail Safe Output)
• Q&A windowed watchdog — LFSR 8-bit seed + 1/2/3/4/8/16/.../1024 ms 可选 window
• CAN/LIN phy — ISO 11898-2/-5 + LIN 1.3-2.2
• Analog Mux + SPI Slave — 配置 + 监控

FSM 是 SBC 内独立子系统,有自己的 bandgap reference 和 oscillator,物理 layout 也尽量与其他电路隔离 —— 防 common cause failure。

MPC5744P 和 MC33907 之间一共 5 类信号桥——4 路电源 + reset + error 反馈 + 双向 SPI + watchdog,缺一条都让 SBC 监控失效:

PCB 上 3 个 Ground 域必须逻辑分离 + 单点 star 汇合——把 SMPS 瞬态噪声、数字信号回流、ADC reference 三路隔开,否则 ADC 抖 LSB 直接挂误码:

• Power GND(PGND) — SMPS 高瞬态电流环路 + MC33907 DGND + MPC5744P DGND
• Quiet GND(QGND) — MC33907 AGND + GND_COM + 其他不参与 SMPS 的器件
• Analog GND(AGND) — MPC5744P VSS_HV_ADREx(ADC reference)

PGND ↔ QGND ↔ AGND 必须在 Vbat 输入端单点汇合,理由:

• SMPS 切换在 PGND 上产生数 mV pp ripple
• 如果 PGND 与 QGND 在 MC33907 IC 处汇合,噪声会通过 GND 传到 analog
• Vbat 端汇合让噪声电流走最短路径回 SMPS,不流经 sensitive analog
• AGND 通过 ferrite + cap(700 Ω @ 100 MHz)与 QGND 隔离,防数字噪声进 ADC

不做 ground 分离的典型后果:

• ADC 1-2 LSB 抖动(12-bit ADC,1 LSB ≈ 0.8 mV @ 3.3V ref)
• LIN/CAN 收发错误率上升
• FS0B 误触发(SMPS 启动瞬间)

FCCU 双线 + RSTb + SPI 反馈 + Watchdog refresh = 5 根线,每根的上拉 / 下拉方向 / 滤波 cap都不能错,否则 stuck-at fault 漏检直接挂 DC 指标:

F[0] = 反相 F[1] —— 任何时候两线状态必须互补:

• 正常态:F[0] = 0,F[1] = 1
• 自检 / reset:F[0:1] = high-impedance(被电阻拉到默认)
• 故障态:F[0:1] = 10(F[0] = 1,F[1] = 0)

stuck-at fault 检测:如果两线同电平(00 或 11),SBC 检测为 fault → INCR Reset Error Counter。

FS0b 是 open-drain,默认 VSUP3 上拉(10 kΩ + 10 nF)。10 nF 比 1 nF 大 10×,理由:

• FS0b 触发后慢启动外部 fail-safe switch(切关键负载电源)
• 防止 SMPS 启动瞬间的 noise 误触发
• 慢响应可接受:ASIL D safe state 不需要 μs 级响应,ms 级足够

每个 WD refresh 周期:

• RNOK(refresh not OK) → +2(快速恶化)
• ROK(refresh OK) → -1(慢速康复)
• 到 6 → 触发 RESET(Reset Error Counter +1)

不对称的 +2/-1 设计避免间歇性 noise 反复 +1/-1 不收敛。要从满状态(5)恢复到 0,需要 5 次连续 ROK,而 3 次 RNOK 即触发 reset。

不是每次 reset 都立即关电源,而是 0-6 计数:

• 任何触发(11 种 fault)→ +1
• 连续 7 次 WD ROK → -1
• 到 3 → FS0b assert(外部 fail-safe 关键电源关)
• 到 6 → Deep Fail Mode(所有 regulator 关,需 key off/on 才能唤醒)

这是 "graceful degradation" 设计 —— 偶发故障(单粒子翻转 / EMI 干扰)被 counter 吸收,持续故障才升级。

硬件错(5 种):

• RSTb_short2hi(RSTb 短路到 Vhigh)
• ABIST_Fail(power-on built-in self test 失败)
• SPI_DED(SPI 双错检测)
• IO_01/45_ERR(IO 引脚错)
• IO23_ERR(IO_2/IO_3 错)

电压错(3 种):

• Undervoltage(任何 regulator)
• Overvoltage(任何 regulator)
• FS0b_short2vdd(FS0b 异常短路)

软件错(3 种):

• WD Error Counter == 6(单 cycle 重错)
• WD Refresh NOK during INIT or WD timeout
• Reset by SPI(主动 reset)/ External Reset

MC33907 一颗芯片包 5 路独立电源,电压 / 电流 / 拓扑 / 用途各不一样——MCU 核走 buck,IO 走 LDO,5V 外设走 buck-boost,Vsense 走 tracker。下表是 BOM 对照:

$Vin=6.5\mathrm{V}$,$Vout=3.3\mathrm{V}$,$fsw=2.4\mathrm{MHz}$,$L=2.2\mu \mathrm{H}$,$Iout,\text{max}=1.5\mathrm{A}$(MC33908):

Inductor 电流纹波:

输出电压超调(等效 $Cout=2\times 22+0.1\mu \mathrm{F}$):

ESR 电压纹波($Cout$ ESR = 20 mΩ):

实测峰峰 4.4 mV(Figure 6),与理论一致。

Vcca 和 Vaux 都用外部 PNP(BCP52-16)做 ballast 提升电流到 300 mA。电压选择通过 SELECT 引脚的电阻决定:

精度要求 ±5%,使能 SBC 启动时自动检测配置。

SBC 内部 BIST 在 power-up 阶段就接管时序,5 路 reg 不是同时上电,而是按依赖顺序串行——MCU 必须在 SBC 完成 BIST 后才被释放 reset,否则启动竞态:

0 ms:   VSUP 上升到 5.6 V (VSUP_UV_5 阈值)
        SBC 离开 PowerDown 模式
        Vpre 开始 activate
        ↓
~0.5 ms: Vcore / Vcca / Vaux 同步 ramp-up
        ABIST(Analog Built-in Self Test)运行
        ↓
~3 ms:   RESET_B de-assert(MCU 离开 reset)
        SBC 进入 INIT 阶段(256 ms 大 WD window)
        ↓
~5 ms:   MCU 配置 SBC SPI,设置 WD seed / FS pin reaction
        正常运行

INIT 阶段 SBC 允许 256 ms 大 WD window(运行时是 1-1024 ms 可选),给 MCU 充分时间 boot 起来 + 配置 SBC。

如果 MCU boot 失败,SBC 等待 INIT 超时 → Reset Error Counter +1 → 重启 MCU 至多 6 次 → Deep Fail Mode。

写非零值到 RGM_FRET 寄存器后,N 次 functional reset 内没收到软件确认 → 升级为 destructive reset。

用途:软件可以容忍前 N-1 次 functional reset(可能是间歇性 hardware glitch),但累积超过 N 次说明问题严重。

写非零值到 RGM_DRET 寄存器后,N 次 destructive reset 后,MCU 卡在 reset 状态,直到 power-on。

用途:防止永久卡死,需要 hard power-cycle(车主关 key 再开)。

reset 不是 MCU 单方决定,SBC 也参与——MCU 卡死后 SBC 会触发 Deep Fail Mode 切全部电源,只能 hard power-cycle 唤醒。这是 ASIL D"防 RAM 死锁卡产线"的关键机制:

• MPC5744P 卡死 reset 状态 → MC33907 检测到 RSTb 持续 low → 进入 Deep Fail Mode
• Deep Fail Mode 下所有 regulator 关 → MPC5744P 完全断电
• 唤醒方式:
  • Key off / on(关再开,触发 POR)
  • IO_0 transition(IO_0 = 0 → 1,通常接车 ignition key)