NXP FS23 车身安全 SBC:三件套低端锚点 + scalability + token watchdog

低压辅助电源L4别名 FS23 · NXP 车身 SBC · scalable SBC · LDO-to-DC-DC SBC · token watchdog · LIMP home

本质与导读

本质 FS23 是 NXP 安全 SBC 三件套的车身/comfort 低端锚点(ASIL B 上限),设计哲学与 FS65/FS85 相反:不拼功率/灵活,而用最大集成度(集成 CAN FD+LIN PHY、无 VPRE 中间轨、V1 直供 MCU)换 BOM 成本。核心杠杆是同一 pin-to-pin footprint 靠料号+OTP 在 LDO↔DC-DC 与 QM↔ASIL B 两轴缩放——一版 PCB 贴不同料号做门控或安全 BCM,原理图不动;但 QM↔ASIL B 是物理器件分界,不能现场升级。

主线坐标:旁支 · 低压控制域 · ↑ 全景主线

1. 三件套定位:FS23 的位置

FS23 datasheet 原文定位:"scalable from the linear voltage regulator version to the DC-DC version, as well as from QM to ASIL B… high level of integration in order to optimize the BOM cost for the body and comfort market"。把它放进三件套:

NXP SBC 三件套定位:FS65(动力/e-Gas,ASIL D,VPRE 6.5V buck-boost+3 轨,Q&A WD)/ FS85(ADAS/radar,ASIL D,外置 MOSFET VPRE+VBOOST+多相,无 PHY)/ FS23(车身/comfort,QM-ASIL B,无 VPRE 直供+集成 CAN/LIN PHY,token WD,scalable LDO↔DC-DC)——域×功率×ASIL 三角

关键认知:不能假设"越新越集成"。 FS85 删掉 PHY(VBOOST 喂外部收发器),FS23 集成 CAN FD+LIN PHY——是两个相反取舍点。FS23 是 ASIL B 上限(无 ASIL D 路径),FS65/FS85 才到 ASIL D。FS23 无 VPRE 中间轨(V1 直供 MCU,省外围省成本),代价是没有 6.5V 预稳压 headroom:LDO 版要 VSUP ≥ 5.5V 才能出 5V,cranking 跌破时 AMUX/CAN/IO 不保证——这是车身段省钱换来的鲁棒性折让。

2. 电源架构 + scalability(产品论点本身)

V1 主轨是二选一拓扑(pin-to-pin):HVBUCK(同步 buck,集成 FET,3.3/5.5V,Normal 600mA/LPON 100mA,开关频率 450kHz 或 2.25MHz,带 spread spectrum 改善 EMC)或 HVLDO1(3.3/5.5V,内部 PMOS 100mA / 外接 PNP 250mA)。其余:HVLDO2(V2,100mA)、HVLDO3(V3,150mA,常供 CAN block)。

FS23 scalability:部件号 MFS23-X-Y-BM-Z;X=电源方案(0=3×LDO / 2=1 HVBUCK+2 LDO)、Y=通信(CAN/LIN/LDT 组合)、Z=安全(M=QM / B=ASIL B);一版 footprint 贴 FS230x(便宜门控)或 FS232xB(安全 BCM)原理图不动;V1 二选一 HVBUCK/HVLDO1 直供 MCU

scalability 是 FS23 真正的产品论点,且三件套独有:部件号 MFS23 X Y BM Z 三轴——X=电源方案(0=3×HVLDO / 2=1 HVBUCK+2 HVLDO,即 LDO↔DC-DC 轴)、Y=通信组合(CAN / CAN+LIN / +LDT…)、Z=安全等级(M=QM / B=ASIL B)。Tier-1 铺一版 pin-to-pin footprint,贴 FS230x(3 LDO/QM)做便宜门控、贴 FS232xB(HVBUCK/ASIL B)做安全 BCM,原理图不动——这是 FS65/FS85 不打的平台/BOM 牌。上电:V1 在 Slot 0 自动先启,V2/V3 按 OTP 配 SLOT(各 500µs)。

3. fail-safe 状态机 + 双键 token watchdog

主状态:Normal / LPON(low-power ON,仅 V1 保留供 MCU)/ LPOFF / Fail-safe;安全引脚 RSTB/FS0B/LIMP0 各自并行管理。

FS23 fail-safe 状态机:POR → INIT(256ms 死线,写 fail-safe 寄存器 + 首次 good WD refresh)→ Normal;Normal↔LPON↔LPOFF;Fail-safe(VBOS UV / OV / TSD / fault counter max)退出三选(自动重启 TFS_DUR 100ms/4s / 半自动 / Key OFF-ON);双键 token WD(0x5AB2↔0xD564 交替,window/timeout,错误计数 +2/−1)

INIT 256ms 死线:POR 后自动进 INIT(fail-safe 寄存器可写),退出 = 写 1 清 LOCK_INIT + 一次 good WD refresh → 寄存器锁、CRC 每 5ms 校验;首次 good WD refresh 必须 < 256ms(=默认 WD 周期)。

watchdog 是双键 token,不是 FS65 的 Q&A polynomial:用两个固定 key 0x5AB2(POR 默认)与 0xD564,每次 good refresh 交替(MCU 读 WD_TOKEN、写 WD_ANSWER)——这不是随机 challenge,DC 明显低于 challenger WD,与 ASIL B(非 D)目标自洽。错误计数器非对称 +2/−1(单次 glitch 不跳、持续 NOK 才收敛触发)。MCU fault recovery strategy(WDW_REC_EN):FCCU 报错时拉 FS0B/LIMP0 但不复位 MCU、WD 窗自动转全开,给 MCU 自恢复机会——拿确定性换可用性,很车身。

4. ASIL B 机制:QM/B 是物理器件分界

FS23 fit ASIL B(ISO 26262:2018)。机制:内部监控带独立 reference、电压监控 V0/V1/V2/V3MON + VMON_EXT、window/timeout WD、**FCCU1(专用)+ FCCU2(可配)**硬件监 MCU、ABIST on demand(覆盖 latent fault,ASIL B 应用推荐运行)、clock monitoring、INIT CRC(5ms)、fault error counter→Fail-safe、RSTB 8s timer。

关键:QM vs ASIL B 是物理器件差异——M 后缀件根本不 enable FS0B/VMON_EXT/FCCU/ABIST/RSTB-8s,B 后缀件才有。即"scalable QM→ASIL B"靠选部件号,QM 件不能现场升级到 ASIL B——safety case 里必须钉死,拿 QM 件跑 ASIL B argument 是错的。

5. LIMP home + 通信

LIMP home 输出是车身专属安全语义:LIMP0 + LIMP1/2(1.25Hz 或 100Hz PWM 能力)让 BCM 降级运行(如保留某灯/雨刮的 limp 模式)而非只会硬 fail-silent——体现车身/comfort 的安全目标偏可用性,而动力偏 fail-silent(STO)。通信:集成 CAN FD(≤5Mbps,ISO 11898-2:2016)+ LIN(2.2/SAE J2602-2),LPON/LPOFF 下均 wake-up capable;32-bit SPI 或 I²C(带 CRC)。另有 LDT(长时定时器)194 天 / 1s 分辨率做系统关断-唤醒控制。4×HSD(150mA,cyclic-sense 驱 LED/INH)+ 16-ch AMUX。LPON Iq typ 20µA@25°C。

核心要点

FS23 = NXP SBC 三件套车身/comfort 低端锚点 + ASIL B 上限;设计哲学=最大集成度换 BOM,与 FS65/FS85 相反
集成 CAN FD+LIN PHY(FS85 反而删 PHY)+ 无 VPRE 中间轨(V1 直供,代价:LDO 版 cranking <5.5V 不保证)
scalability 是核心论点:一版 footprint 靠部件号/OTP 在 LDO↔DC-DC 与 QM↔ASIL B 两轴缩放,原理图不动
双键 token WD(0x5AB2↔0xD564 交替)≠ FS65 Q&A challenger;DC 较低、与 ASIL B 自洽;错误计数 +2/−1
QM↔ASIL B 是物理器件分界(M 件不 enable FS0B/FCCU/ABIST),不能现场升级——safety case 钉死
LIMP home 降级输出=车身安全偏可用性(vs 动力 fail-silent);fault recovery 不复位 MCU 给自恢复机会
INIT 256ms 死线(=默认 WD 周期);烧录场景延长/禁 WD 避免误 RSTB(同 FS85)
源 = datasheet Rev.8(primary,235 页全规格)——证据比 FS65/FS85 页更硬

缩写表

只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写	全称	中文 / 备注
NXP	NXP Semiconductors	恩智浦半导体
SBC	System Basis Chip	系统基础芯片(电源 + 收发器 + 监控集成)
DC-DC	DC-to-DC Converter	直流-直流变换器
ASIL	Automotive Safety Integrity Level	ISO 26262 安全完整性等级 QM→A→B→C→D
BOM	Bill of Materials	物料清单
CAN	Controller Area Network	控制器局域网
LIN	Local Interconnect Network	本地互连网络
MCU	Microcontroller Unit	微控制器(本页多指车规多核 MCU)
LDO	Low Dropout Regulator	低压差线性稳压器
QM	Quality Management	ISO 26262 最低等级,只走质量流程
PCB	Printed Circuit Board	印刷电路板
BCM	Body Control Module	车身控制器
MOSFET	Metal-Oxide-Semiconductor Field-Effect Transistor	金属氧化物场效应晶体管
EMC	Electromagnetic Compatibility	电磁兼容
DC	Diagnostic Coverage	诊断覆盖率 (功能安全语境)
ISO	International Organization for Standardization	国际标准化组织
PWM	Pulse Width Modulation	脉冲宽度调制
STO	Safe Torque Off	安全转矩关闭 (IEC 61800-5-2)
SAE	Society of Automotive Engineers	美国汽车工程师学会
SPI	Serial Peripheral Interface	串行外设接口

Cross-references

← 索引
NXP FS65 安全 SBC 深解:动力域 ASIL D,三件套对比之一
NXP FS85/FS84 安全 SBC 深解:ADAS 域 ASIL D,与 FS23 集成方向相反
低压辅助电源全栈:SBC 在整车低压配电的位置
System Basis Chip(SBC)总览:SBC 概念与谱系
SEooC:安全 SBC 的 assumptions of use / 部件号选型契约