NXP FS85/FS84 安全 SBC:相对 FS65 的代差 + fail-safe 状态机 + 集成大坑

低压辅助电源L4别名 FS85 · FS84 · NXP 安全 SBC 新一代 · ADAS SBC · 外置 MOSFET VPRE · VMON 冗余监控

本质与导读

本质 FS85/FS84 是 NXP 面向 ADAS 域控的安全 SBC,SEooC 只给器件级能力(VMONx 冗余监控 + BIST + FS0B),系统 ASIL D 靠"外部 PMIC + FS85 冗余监控"架构挣出来,而非 ISO 26262-9 的 ASIL 分解;集成的硬死线是 INIT_FS 256ms 内喂狗,否则进 fail-safe。

主线坐标:旁支 · 低压控制域 · ↑ 全景主线

1. 定位与相对 FS65 的代差

FS85xx 是 ASIL D 系列、FS84xx 是 ASIL B 系列(实证型号 FS8500/8510/8520/8530 与 FS8400/8410/8430)。典型应用是高功耗的 ADAS/radar/camera/domain controller,常与外部 PMIC(PF8200/PF5024)配合给 DDR 等供电。相对 FS65 的代差:

FS85 vs FS65 代差:FS65 内部固定 6.5V VPRE + 内置 CAN/LIN PHY + SBC&lockstep 打包 ASIL D;FS85 外置 MOSFET VPRE(455k/2.22M)+ VBOOST + 多相 BUCK + LDO,无 PHY,ASIL D 靠外部 PMIC + VMONx 冗余监控

  • SMPS 拓扑(最硬的代差):FS65 的 VPRE 是内部固定 6.5V buck-boost 中间轨 + 内部三轨;FS85 改为外置 MOSFET 开关 pre-regulator,开关频率可选 455 kHz 或 2.22 MHz,并新增 VBOOST 升压级,低压侧是 BUCK1/2/3 三路同步 buck(BUCK1+BUCK2 可多相)+ LDO1/LDO2
  • 无内置收发器:FS65 内置 CAN FD + LIN PHY;FS85 全篇无 PHY,反而讲"VBOOST 供外部 CAN 收发器(如 TJA1042)"——定位分水岭。
  • ASIL 区分方式:FS85/84 用型号位直接区分(FS85xx=D / FS84xx=B);FS65 是同器件按 lockstep MCU 配置升到 D。
文档层级 AN12333 是集成 /…

文档层级 AN12333 是集成 / 应用指南,不是 datasheet。各轨输出电压/电流范围、watchdog 超时窗、完整 fail-safe 态列表、ABIST/LBIST 细节在本 note 中反复指向 datasheet。本页给的是 AN12333 实证的架构/外围/时序/集成约束;rail 规格表请回 FS84/FS85 datasheet,勿照搬 FS65 页结论

2. 多轨架构

AN12333 没有 rail 规格总表(指向 datasheet),但从原理图 + 外围约束可还原架构:

FS85 多轨链:VSUP →(反接二极管+PI 滤波)→ 外置 MOSFET VPRE(455k:6.8µH / 2.22M:2.2µH)→ VBOOST(4.7µH,供 CAN PHY)+ BUCK1/2/3(1µH,可多相)+ LDO1/LDO2;VMON1-4 独立监控(阈 0.8V)可监 FS85 自身或外部 PMIC

VPRE 用外置 NMOS 开关 buck,栅驱来自内部 VBOS(5V);455 kHz 用 6.8µH 电感、2.22 MHz 用 2.2µH(频率越高电感越小、利于 EMC/radar 频段避让,但要求 MOSFET 单封装防热耦合、Qg<7nC)。VBOOST 升压级供 CAN 收发器等(电感 4.7µH;FS8500 VBOOST 标称 3% DC 精度)。BUCK1/2/3 同步 buck 供 MCU 各核(电感 1µH,BUCK1+BUCK2 可多相并成大电流 VCORE)。LDO1/LDO2 输入可取 VPRE 或 VBOOST。上电顺序由 OTP 配置 power-up slot(1-7);ASIL D 下"高压先、低压后",外部 PMIC 由 FS85 最后一个 VREGx 启动后使能。

3. fail-safe 状态机与 INIT_FS 256ms

FS85 上电进 INIT_FS(fail-safe 初始化态,可用 GOTO_INITFS 重入),此态可写 fail-safe 寄存器。INIT_FS 超时 = 256 ms 是硬死线:所有 fail-safe 配置 + 第一次 good watchdog refresh 必须在 256 ms 内完成,否则进 fault。

FS85 fail-safe 状态机:上电 → LBIST(WAKE 脉冲 >7ms 内完成)→ INIT_FS(256ms 内配完 + 1 次 good WD refresh,可 GOTO_INITFS 重入)→ normal;RSTB 双向接 MCU reset + 8s 监控 timer;FLT_ERR_CNT 达阈触发 RSTB;debug mode 禁 WD timeout

RSTB 双向,接 MCU reset 做 functional reset(在 INIT_FS 期间由 SPI/I²C 配置);PGOOD 接 MCU PORB 做 hardware reset。正常态有一个 8s RSTB 监控 timer(debug mode 会禁掉)。LBIST 在上电/WAKE 时执行(自动 debug 入口要求 WAKE 脉冲 >7ms 以便 VBOS started + LBIST 在脉冲结束前跑完)。双振荡器监控:main 域 + fail-safe 域各一振荡器,漂移过大置 FS_OSC_DRIFT。

watchdog:AN12333 不展开类型/窗口(指向 datasheet),但实证:概念是 "good watchdog refresh",refresh 限速由 WD_RFR_LIMIT 控,debug 入口"watchdog window fully opened" → 印证正常态是 window watchdog;WD 与 FLT_ERR_CNT(fault error counter) 联动,计数达 intermediate value 触发 RSTB。量产/车内烧录要在 INIT_FS 态禁 WD refresh + 设 FCCU_CFG=00 禁 FCCU 监控避免误报。

4. ASIL D / B 能力

先分清两层(别混):ASIL D 是系统属性,不是器件单独"达成"的器件级:FS85 是 fit for ASIL D 的 SEooC(内含独立 safety island,按 ISO 26262 以 ASIL D 开发),ASIL D 能力由器件内建安全机制提供——FCCU1/FCCU2 双引脚、FS0B fail-safe 输出、ERRMON、BIST(ABIST/LBIST)、独立 reference 的电压监控 VMONx、外部时钟同步监控、AMUX/ADC 诊断;FS84 是 fit for ASIL B。这一层不依赖外部 PMIC(VMONx 可只监控 FS85 自身轨即满足)。

系统级:当 SoC core 需要外部 PMIC(PF8200/PF5024)供大电流时,把 FS85_VMONx 取在外部 PMIC 调压输出端做冗余监控(OV 设 VCORE 最大、UV 设最小;VMONx 分配给 ABIST1,VCORE 可用后才释放 FS85_PGOOD;FS85 管 RSTB、外部 PMIC 经 ENABLE 由 FS85 VREGx 控)——这是用 FS85 的独立冗余电压监控覆盖外部 PMIC 的架构选择,不是 ISO 26262-9 §5 意义上的 ASIL 分解。它与 FS65"SBC + lockstep MCU 打包"是达成系统 ASIL D 的不同架构路线。

ASIL D 硬件度量硬目标(系统 FMEDA 层):SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT(ISO 26262-5:2018 Table 4/5/6;详见 FMEDA 深页)。FS85 器件对这些度量的定量贡献(各 SM 的 DC、FIT)在 FS85 Safety Manual,AN12333 与 datasheet 不给。

4.1 SEooC assumptions of use(Tier-1 必逐条验证)

FS85 按 ISO 26262-10SEooC 开发,出货带独立 Safety Manual(区别于 datasheet 与 AN12333),内含一组 assumptions of use(AoU)——FS85 的 FMEDA/ASIL 论证以这些假设成立为前提,Tier-1 必须逐条核到自己的系统:① 假设的 use case / 外部安全机制(如外部 ERRM 监 FS0B 并能独立把系统拉入 safe state);② 假设的 safe state 定义与 FTTI(FS0B/RSTB assert 后系统的安全响应窗口);③ 假设的配置约束(如 VMON OV/UV 阈值、WD 周期、FCCU_CFG 必须按 AoU 设)。任一 AoU 不满足,随附 FMEDA 即失效,须自证等效或重算 SPFM/LFM。

5. 三个真实集成大坑

AN12333 花大篇幅讲的、最容易踩的集成陷阱:

  • BUCK1 不能被 OTP 关闭:不用 VCORE 时必须走 workaround(BUCK1_IN 接 VPRE 保 OV 保护、放 power-up slot 7 不自启、主动屏蔽 VCOREMON_UV/OV_FS_IMPACT=00),否则永久 VCOREMON_UV 会拖住 FS0B 不释放。FS65 三轨固定没这个"用不到却关不掉"的问题。
  • FLT_ERR_CNT 默认就会产生 RSTB 脉冲:上电 FLT_ERR_CNT=1,设 FLT_ERR_CNT_LIMIT=00 时 intermediate value=1 立即触发 reset → 器件出 INIT_FS、置 REG_CORRUPT。避免需先递减计数或临时禁 FLT_ERR_IMPACT。这是"非对称寄存器写"语义的经典坑,safety case 必须覆盖。
  • 双振荡器慢爬升误报:WAKE 慢于 0.25 V/ms 唤醒会误置 FS_OSC_DRIFT,必须在 INIT_FS 清位回读区分真漂移 vs 慢爬升。点火电压缓升的真实车况下这是常见误报源。

核心要点
  • FS85(ASIL D)/FS84(ASIL B)= 面向 ADAS/radar/domain controller 的新一代安全 SBC
  • 代差①:VPRE 内部固定 6.5V → 外置 MOSFET 开关 pre-reg(455k/2.22M)+ VBOOST + 多相 BUCK + LDO,功率/灵活性大增
  • 代差②:无内置 CAN/LIN PHY,靠 VBOOST 喂外部收发器(选 FS85 做 gateway 要算 20mA/µs 瞬态 + <100mV 过冲)
  • 代差③:器件级 fit ASIL D(FS85)/ASIL B(FS84)的 SEooC;ASIL D 是系统属性,系统级可走外部 PMIC + FS85_VMONx 冗余监控的架构路线( ISO 26262-9 §5 分解),区别于 FS65 的 SBC+lockstep 打包
  • SEooC AoU:FS85 出货带 Safety Manual + assumptions of use(use case/外部 SM、safe state/FTTI、配置约束),Tier-1 必逐条核;ASIL D HW 度量 SPFM≥99%/LFM≥90%/PMHF<10FIT,器件定量贡献在 safety manual
  • INIT_FS 256ms 硬死线:配完 fail-safe 寄存器 + 首次 good WD refresh;烧录场景显式 GOTO_INITFS + 禁 FCCU
  • 三大坑:BUCK1 不可 OTP 关(用不到要 7 步 workaround)/ FLT_ERR_CNT 默认产生 RSTB(非对称写语义)/ 双振荡器慢爬升误报(<0.25V/ms)
  • 文档层级:AN12333 是集成指南,rail 规格/watchdog 窗口/完整态机以 datasheet 为准,勿照搬 FS65

缩写表
只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写全称中文 / 备注
NXPNXP Semiconductors恩智浦半导体
SBCSystem Basis Chip系统基础芯片(电源 + 收发器 + 监控集成)
MOSFETMetal-Oxide-Semiconductor Field-Effect Transistor金属氧化物场效应晶体管
ASILAutomotive Safety Integrity LevelISO 26262 安全完整性等级 QM→A→B→C→D
CANController Area Network控制器局域网
LINLocal Interconnect Network本地互连网络
MCUMicrocontroller Unit微控制器(本页多指车规多核 MCU)
LDOLow Dropout Regulator低压差线性稳压器
EMCElectromagnetic Compatibility电磁兼容
DCDiagnostic Coverage诊断覆盖率 (功能安全语境)
SPISerial Peripheral Interface串行外设接口
ADCAnalog-to-Digital Converter模数转换器
SMSafety Mechanism安全机制

Cross-references