MC33907/08 安全 SBC 硬件设计指南

驱动与保护L4别名 MC33907 硬件设计 · MC33908 SBC · NXP safe SBC · 安全 SBC 硬件 · SBC fail-safe · SBC PCB layout · AN4766 · ISO 7637 测试 class

本质与导读

本质 MC33907/08 是把电源、CAN/LIN 物理层、IO 和独立 fail-safe state machine 集成进一颗芯的 ASIL D SBC;它能成立的唯一硬约束是 fail-safe partition 在物理上与主 partition 隔离(trench isolation + 独立 bandgap/oscillator/supervisor),即便主 partition 全瘫,RSTB/FS0B 仍能正确把系统拉到安全态。

主线坐标:旁支 · 低压控制域 · ↑ 全景主线

核心要点

MC33907/08 SBC 设计的 5 个关键决策:① VPRE 拓扑(buck 简单,buck-boost 兼容 LV124 VSUP 跌到 2.7V)→ GATE_LS pin 自动判别 / ② 电源链 BOM(LVPRE 22μH + L_VCORE 2.2μH + 40μF X7R ceramic on each output,ESR << 100mΩ;RC snubber 抑 SW pin ringing,RSNUB 须 ≥ 1/4W 因 Pdis ≈ 0.22-0.24W)/ ③ Fail-safe partition 独立性(trench isolation + 独立 V_2P5_FS + 独立 OSC_FS + voltage supervisor,Main partition 全瘫时 FS partition 仍正常)/ ④ INIT_FS 启动序列(POR → write FSSM1/FSSM2 → 7× WD refresh(LFSR 算法,reference value 0xB2 → ...0xD072,禁止 hard-code)→ release FS0B,256ms 硬时限)/ ⑤ ISO 7637 抗扰 Class — MC33907 大部分脉冲 Class A,Pulse 1(-100V 负向 load dump)+ Pulse 4 cranking(Vmin=2.7V)是 Class C,设计时若要全 Class A 需加外部 TVS/clamp(如 MC34FS6407 工业派生用 MAX6495 限到 37.7V 应对 60V load dump)。坑:VCORE 输出必须接近 MCU CORE pin(track 上 DC 压降);MCU DGND 必接 PGND(不接 AGND);AMUX 滤波 R 越大 MUX_OUT 时间常数越长(影响 ADC 采样)。

MC33907/08 Block Diagram

1. SBC 是什么 + MC33907/08 总览

SBC(System Basis Chip)是给 ECU 一颗芯片把"启动 / 电源 / 物理层 / 监控 / fail-safe"全做完的集成方案。理由:车规 ECU 在 VBAT 2.7V~40V 范围内必须可靠工作 + 通信(CAN/LIN)+ 监控 MCU 健康(WD + reset)+ 安全输出(FS0B 切动作),这些功能用 5-6 颗独立 IC 实现成本高、PCB 大、共因失效风险也高。MC33907/08 是 NXP 在 SMARTMOS BiCMOS 工艺上把这些功能"垂直集成"的代表方案。

1.1 4 个变种 + 1 个工业派生

按 CAN/LIN 物理层 + LPOFF restart 行为差异分 3 个车规变种 + 1 个工业派生。

部分号	CAN	LIN	LPOFF restart	应用
MC33907_8AE	1	0	失败 → 8.0s 后 deep fail-safe	早期车规
MC33907_8NAE	1	0	自动恢复(改善)	大多数车规
MC33907_8LAE	1	1	自动恢复	车规 + LIN 总线
MC34FS6407/08	1	1/0	自动恢复	工业 24V(需 60V load dump clamp)

MC34FS6407/08 是工业派生,VSUP 最大 40V → 60V(用 MAX6495 + ZD1 SMBJ54A + M1 BUK7275 外部 clamp 限到 37.7V)。

1.2 典型应用

EPS 电动转向 / engine 引擎管理 / battery / 主动悬挂 / 变速箱 / EV/HEV inverter / ADAS / 自动化 PLC / 医疗输注泵 / 楼宇电梯。MC33907/08 适用范围非常宽,因为 LV124(德国 OEM HW requirements)是车规通用最严标准之一,过 LV124 等于过大部分通用应用要求。

2. 电源链 — VPRE / VCORE / VCCA / VAUX

电源链是 SBC 最复杂也最有特色的子系统 — VPRE 作总线给后级 VCORE/VCCA/VAUX 馈电,出现故障即 SBC 全瘫,因此 fail-safe partition 必须独立于 VPRE。

完整电源树

MC33907/08 电源链 6 路输出,每路有独立电流能力 + voltage accuracy + thermal shutdown(TSD)。设计时先决定 VPRE 拓扑,再算电感 + 电容 + 外部 PNP。

2.1 VPRE 选型 — buck vs buck-boost

VPRE pre-regulator 双拓扑:

Buck only(VSUP > 7V always):简单,GATE_LS pin → GND
Buck-boost(VSUP 可能跌到 2.7V,LV124 E-09 test):需外加 LS MOSFET(BUK9832-55A) + diode DBB → GATE_LS pin

切换 auto-detect:启动 / wake-up 时 SBC 探测 GATE_LS pin 状态。坑:VAUX tracker 在 VSUP < 4.6V 时若使能,可能 15ms 内 ABIST 失败 → deep fail-safe(RSTB stuck low > 8s)。LV124 应用必须 boost 或 isolate VAUX。

VPRE 设计关键参数:

V S U PM A X = 40 V, V S U PM I N = 2.7 V, V PRE = 6.5 V, I PREM A X = 2.0 A, FS W PRE = 440 kHz

电感公式(buck):

L V PRE = \frac{V PRE ( V S U PM A X - V PRE )}{K \cdot V S U PM A X \cdot I PREM A X \cdot FS W PRE}

K = 0.3(30% ripple),代入得 Lbuck = 20.6μH,L_boost = 16.6μH → 推荐 22μH 标准值(满足两种模式)。

2.2 VCORE — MCU CORE 供电

VCORE SMPS 2.4 MHz 工作,输出 1.2-3.3V 可调(外部 R3/R4 分压 + FB_CORE pin,1%电阻),电流能力 0.8A(MC33907) / 1.5A(MC33908)。

$L V CORE = 2.2 μ H$ (shielded inductor,DCR < 50mΩ,ISAT ≥ 1.73A)
$CO U T, V CORE = 20 μ F$ (MC33907)/ $40 μ F$ (MC33908),ESR << 100mΩ
Type 3 amplifier compensation 网络:R3/R4 分压 + R1/C1 + R2/C2(外部)
$I CORE > 160 mA$ (VCORE = 3.3V)/ $> 120 mA$ (VCORE = 1.2V)才能保持 continuous mode

2.3 VCCA / VAUX LDO + PNP boost

VCCA / VAUX 通过 SELECT pin 电阻决定 3.3V / 5V 组合:

R_SELECT	VCCA	VAUX
5.1 kΩ	3.3 V	3.3 V
12 kΩ	5.0 V	5.0 V
24 kΩ	3.3 V	5.0 V
51 kΩ	5.0 V	3.3 V
Open	3.3 V	3.3 V

VCCA 用 internal PMOS 上限 100mA;加外部 PNP(NJT4030P / PBSS5350Z)上限 300mA,但 accuracy 从 ±1.0% 退化到 ±3.0%。VAUX 外部 PNP 是 mandatory(无 internal 路径)。

V_AUX_PNP 功耗:

P D I S, V A U X_PNP = (V PRE - V A U X) \cdot I A U X = (6.5 - 3.3) \cdot 0.4 = 1.3 W

加 RAUX 3.0Ω 串联分担:PPNP 降到 0.8W,R 上耗 0.5W,合理分摊。

3. AMUX + I/O + 内置 transceiver

除电源外,MC33907/08 把模拟前端 + GPIO + CAN/LIN 物理层都集成进同一颗,这是与"纯电源管理 IC"的核心差异。

AMUX:5 输入 mux(VREF 2.5V / Battery via VSENSE / IO_0 / IO_1 / die T)→ MUX_OUT pin → MCU ADC。MUX_OUT 滤波 R 不强制,加了时间常数变长。
6 路 Flexible I/O:IO_0/1/4/5 全局(过 ISO 7637 抗扰,需串入 R 限流);IO_2/3 local(只连 ECU 内部)
Safety outputs RSTB + FS0B:active low,2 路独立。RSTB → MCU reset,FS0B → 切动作器(MOSFET enable / relay)
Built-in CAN HS:ISO 11898-2/-5(MC33907_8AE/NAE/LAE 都有)
Built-in LIN 2.x / J2602-2:只 MC33907_8LAE 有

4. Fail-safe state machine + 启动序列

Fail-safe state machine 是 SBC 区别于普通 PMIC 的核心 — 物理上独立 partition + 独立时钟 / bandgap / 监督电路,保证主域全瘫时仍能输出 reset / FS0B 通知系统切动作。

INIT_FS 启动序列

Fail-safe state machine(FSM)的 3 子模块:

Voltage supervisor:监 VPRE / VCORE / VCCA / VAUX 是否超 spec
FSO driver:RSTB + FS0B 输出 buffer + Clamp9_FS
BIST:built-in self-test,启动时自检 FSM 健康

独立化关键:V_2P5_FS regulator + Bandgap2 + OSC_FS + trench isolation。这意味着 Main partition 即便全瘫(VPRE 短路 / VCORE 失踪 / die 局部失效),FSM 仍能输出 RSTB low + FS0B low 通知系统切动作。

4.1 INIT_FS 启动序列(关键流程)

POR 或 LPOFF wake 后:

Write INIT_FS registers(FSSM1 配 RSTB/FS0B 安全行为,FSSM2 配 IO_23 FCCU 监控 — 若没用 IO_23 必须 disable 否则 reset)
7× good WD refresh:
- 第 1 次 close INIT_FS phase
- 第 7 次 clear RST_ERR_CNT(reset 错误计数)
- LFSR 序列:第 1 次后值 0xB2(POR/LPOFF wake 固定),后续按 datasheet §6.5.2.1 计算
- WD answer reference values:0xD04D / 0xD19B / 0xD137 / 0xD16E / 0xD1DC / 0xD1B9 / 0xD072(reference only,禁止 hard-code,必须算法生成)
Release FS0B:SPI 写 FS_OUT 寄存器(reference value 0xD327,同样禁止 hard-code)→ FS0B pin → high
256 ms time limit:超时未 close INIT_FS → 触发 reset

INIT_FS 关后,WD 必须周期性刷新在 open window 内(too-early / too-late 都算 WD error),默认 WD_ERR_CNT = 6(3 次错就 reset)。

4.2 Debug 模式(MCU flash 编程)

MCU 首次编程时 flash 是空,WD 无法刷,会触发 reset 循环。Debug pin 加 Rpu 10kΩ + Rpd 11kΩ + Cout 10nF 网络,在 power-on reset 时拉成 debug mode → WD timeout 自动 disable + deep fail-safe disabled,允许 MCU 反复 power cycle 编程。

5. PCB layout — 3 GND 分区 + 关键 BOM

MC33907/08 有 3 个 GND:

AGND(analog,内部模拟电路参考)
GND_COM(physical layer ground,CAN/LIN PHY 参考)
DGND(digital,SPI / WD 逻辑参考)

PCB 上必须分:Local PGND(SMPS 高瞬态电流回路,VPRE + VCORE)+ GND(其它低电流元件)。star connection 在 input power connector 处汇合,远离 local PGND 区。

5.1 关键 layout 规则

SMPS 高瞬态电流回路是 PCB 噪声主源,5 条几何规则把它从 logic / analog 域隔离。

Local PGND:VPRE / VCORE 的 SW pin / diode / inductor / output cap 短回路,这块铜板 island 自己一片
AGND 不能在 VPRE/VCORE SMPS 元件下方铺铜(电容耦合噪声)
MCU DGND 必接 PGND(不接 AGND,避免 AGND 上的 SMPS 残余噪声)
VPRE 与 VCORE 相邻摆放:共享 SMPS local PGND,减少 trace 跨越
VCORE output cap 紧贴 MCU CORE pin:track DC 压降 > 50mV 影响 MCU 启动

5.2 关键 BOM(车规默认值)

车规 SBC 周边 BOM 不能随便用 commercial 级——反向二极管 / 输入电容 / EMI inductor / PNP ballast 各有特定 derating 要求,下表是 NXP AN5099 推荐组合:

元件	值	推荐型号
Reverse battery diode	IF ≥ 3A VR ≥ 100V	MBRS340T3 / PMEG4030EP
CBAT 1+2	22μF × 2 (> 44μF total)	—
LPI	1μH	B82472G6102M / TDK-EPCOS
CPI 1+2	4.7μF	Murata GCM32ER71H475K
LVPRE	22μH	B82479G1223M / TDK-EPCOS
C_OUT_VPRE 1-4	10μF × 4 = 40μF	Murata GCM32 / TDK
L_VCORE	2.2μH	B82472G6222M / TDK-EPCOS
C_OUT_VCORE	10μF × 2	Murata GCM32ER71E
C_SNUB_VPRE / VCORE	2.2nF	—
R_SNUB_VPRE / VCORE	8Ω / 7.5Ω	1/4W (Pdis 0.22-0.24W)
VAUX/VCCA PNP	选 NJT4030P / PBSS5350Z	IC ≥ 700/675mA

6. ISO 7637-2 测试 — 7 类脉冲 + Class A/B/C

车规 SBC 不光要正常工作,还得在车载 VBAT 各种瞬态干扰下不挂——ISO 7637-2 用 7 类典型脉冲 + Class A/B/C 评级,下面图说明哪种波形对应哪级要求:

ISO 7637-2 测试 class

ISO 7637-2 是车规 VBAT 注入瞬态干扰测试,7 类典型脉冲,每类用 Class A/B/C 评估通过等级。Class A = 完全无影响(supply ±3%,no reset,no diag change);Class B = 暂时偏差,自动恢复(允许 V 超 spec,不允许 reset);Class C = 允许 RSTB 触发但 FS0B 可不动 + 不允许损坏。

MC33907_08 实测(KIT33908AEEVBE):

Class A:Pulse 2a(+30/-30V)/ Pulse 3a / Pulse 3b
Class B:Pulse 2a(+100V)/ Pulse 5b(load dump 87V external clamp 40V)
Class C:Pulse 1(-100V load dump from inductive)/ Pulse 2b / Pulse 4 Vmin=2.7V buck-boost(Vmin=4.6V buck only 是 Class A)

工程含义:若 ECU 要求全 Class A,需外加 TVS clamp(load dump 处)+ VBAT 上电容滤 + 大电感 PI filter。MC34FS6407 工业派生用 MAX6495 + ZD1 SMBJ54A + M1 BUK7275 限到 37.7V 应对 60V load dump,就是这思路。

7. 物理层 certification + Aurix 集成

7.1 CAN / LIN 物理层认证

MC33907_8LAE(CAN + LIN)实测 all PASS:C&S Conformance / IBEE Zwickau(OEM EMC)/ SAE J2962-1 / SAE J2962-2 / VELIO。MC33907_8NAE 没 LIN 所以 SAE J2962-1 不适用。

J2962-2 option 2 — CAN ESD 加 C3/C4 82pF 100V(50% tol)+ D2/D3 PESD1CAN zener(NXP SOT23)。这是 OEM 标配 ESD 网络。

7.2 Infineon Aurix MCU 集成

MC33907 可直接驱 Aurix TC275 / TC277(NXP 已 validate)。典型 power tree:

VPRE 6.5V → VCORE 1.25V/0.8A → Aurix VDD / VDD_OSC / VDDSB
VCCA 3.3V/0.1A → Aurix VDD_OSC3 / VDDP / VDDFL / VFLEX / AGBT_VDDFSB
VAUX 5V/0.3A → Aurix VAREF1,2 / VDD_M / VERSB / VEXT

Aurix 的 FCCU(Fault Collection Control Unit)输出 FCCU_E[0]/E[1] 接 MC33907 IO_2/IO_3(Rpu 5.1kΩ + Rpd 10kΩ 双稳态协议),实现"MCU 内部错 → SBC FS0B 切动作"的硬通路。详见 topic-mcu-sbc-asil-d-integration。

Cross-references

← 索引
L2 总论: topic-sbc — SBC 基本概念
L4 MCU+SBC 集成: topic-mcu-sbc-asil-d-integration — MPC5744P + MC33907/08 from AN5099
L1 总论: topic-functional-safety — ASIL D / HARA / FMEDA
L3 ISO 26262: topic-iso26262-part5-hardware — 硬件度量 SPFM/LFM/PMHF
L2 自动化网络: topic-automotive-networks — CAN / LIN / FlexRay
L4 EV 安全: topic-ev-safety-development-flow — EV 整车 ISO 26262 流程