SBC / 伴随 IC（System Basis Chip）

读完本页后，你应该能够：

• 解释为什么汽车 MCU 不能像工业 MCU 那样直接接电池供电
• 画出通用 SBC 的五大功能模块（电源、收发器、看门狗、电源监测、唤醒）
• 区分四个档次的 SBC / 伴随 IC（通用型 → 中级 → 功能安全级 → 领域专用型），并为不同 ECU 选对档次
• 描述 Q&A 看门狗的工作流程，解释它为什么比 Window 看门狗更安全
• 画出 L9788 的功能框图，解释它作为发动机管理伴随 IC 的独特价值
• 解释 SEO（Secure Engine Off）在功能安全中的作用
• 描述 MCU 与 SBC 之间的通信方式（SPI vs MSC）及其安全含义

SBC 把汽车 ECU 必备的辅助功能集成在一颗 IC——电源管理、看门狗、CAN/LIN 收发、唤醒控制等。核心动机:减少 ECU 板上元件数(节省 30%+ 面积)、简化 FMEA 路径、提供一致的功能安全机制。

汽车电池直接输出 8～16 V（正常）或 −0.3～+40 V（含 Load Dump），而 MCU 需要 1.2～3.3 V 稳定供电。这个电压差距不是一个 LDO 能解决的——汽车环境还需要：

如果没有 SBC，这五个功能需要 5～10 颗分立芯片（DC-DC + LDO + CAN 收发器 + LIN 收发器 + 看门狗 IC + 电压监测 IC + 唤醒控制逻辑），PCB 面积和 BOM 成本翻倍。

SBC 按集成度分四档**——Lite 只做收发、Standard 加电源、Advanced 加 Q&A 看门狗、Functional Safety 加冗余电压参考。ASIL 等级越高,需要的档次越高——ASIL D 项目用 Lite 必返工。

集成度说明：Lite = CAN FD + 1～2 LDO；Mid-Range = CAN FD + LIN + 多路 LDO；DCDC/MCP+ = DC-DC 750mA + 多 CAN；安全级 = ASIL D + Q&A 看门狗 + Fail-Safe；领域专用 = 多路电源 + 执行器驱动；视觉/雷达 = 多路 Buck/Boost + LDO + 序列控制。

Infineon OPTIREG 四族量化对比：从 Lite SBC 到 MCP+ SBC，集成对分立方案的 PCB 面积节省可达 ~90%（300 mm² 分立 → 34 mm² Lite SBC），总拥有成本（TCO）降低约 0.1 USD/ECU（按每个有源元件贴装+测试+采购+物流成本 0.014 USD 估算），开发周期缩短 1～2 人月。与 TRAVEO T2G MCU 的配套关系：Lite LDO (150 mA) 配 Door Module；Mid-Range+ 配 Body Domain Control；DCDC+ / MCP+ (750 mA) 配 Cluster / Gateway 等高算力域（源：infineon-optireg-productselectionguide §2,5,9）。

OPTIREG SBC 的三种 MCU 供电拓扑：

• Internal core supply（方案 1）：SBC LDO 直供 $V_{DDD}$ + $V_{IO}$，MCU 片内再降压到核心——简单，适合 Body Entry 级 ECU；
• External pass transistor（方案 2）：SBC Buck 输出后外接 NPN 管扩流到 $V_{DDD}$，适合 Cluster 级负载；
• External core supply（方案 3）：SBC 提供 $V_{DDD}$ + $V_{IO}$，额外 Post-DC/DC 由 SBC 发出的 EN / PowerGood 握手控制 $V_{CCD}$——用于 T2G-B-H 双核/四核高算力 SoC。 方案 3 的关键是 PowerGood（PG）回给 MCU，用作电源序列 handshake 信号（源：infineon-optireg-productselectionguide §11-13）。

通用型 vs 领域专用型的本质区别

通用型 SBC 追求覆盖大多数应用(车身、域控、ECU 等),领域专用型 SBC 针对单一应用极度优化(如 EV 主驱专用、ADAS 专用)。两者价格差 2-5×,选错让 BOM 显著膨胀。

通用型 SBC:                     领域专用型 (L9788):
┌──────────┐                   ┌──────────────────────┐
│ CAN 收发器 │                   │ CAN FD 收发器          │
│ LIN 收发器 │                   │ LIN/K-Line 收发器      │
│ 5V LDO    │                   │ Pre-Boost + Pre-Buck  │
│ 3.3V LDO  │                   │ 5V Linear + 3x Track  │
│ 看门狗    │                   │ Q&A 看门狗 (WDA)       │
│ 唤醒      │                   │ 多源唤醒 (KEY/WK/CAN)  │
└──────────┘                   │ 4x 喷油器驱动 (6A)     │
                               │ 6x 点火预驱            │
 → 需要外挂驱动 IC              │ 2x O2 加热器 (6A)      │
 → 适合任何 ECU                 │ 5x 继电器驱动          │
                               │ 3x 起动机驱动          │
                               │ 5x 外部 MOSFET 预驱    │
                               │ VRS 曲轴信号接口       │
                               │ SEO 安全熄火           │
                               │ MSC 高速通信           │
                               └──────────────────────┘

                                → 一颗芯片替代 10+ 分立 IC
                                → 专为 4 缸汽油发动机优化

SBC 与 PMIC 核心职责不同——SBC 给 ECU 提供"系统协调 + 功能安全",PMIC 给 SoC/MCU 提供"多路电源管理"。两者经常组合使用:SBC 给 ECU 上层、PMIC 给 SoC 内部。

汽车电子中 SBC 和 PMIC 经常混用，但它们的架构目标有本质区别（见上表）。简单判断：如果芯片里有 CAN/LIN 收发器 → 它是 SBC。如果只做电源 → 它是 PMIC。

现实中的关系：ADAS 域控制器可能同时用一颗 SBC（提供 CAN + 看门狗 + 基础供电）和一颗 PMIC（提供 SoC 多路核心电源）。两者互补，不替代。

趋势：随着区域架构演进，每个区域控制器需要更高电流（驱动多个执行器）+ 更多 CAN FD 通道。Infineon MCP+ SBC（TLE9278，4x CAN）和 NXP FS6600（配套 S32S2 域控 MCU）代表了 SBC 向高集成度演进的方向。

边界案例：SPI-to-CAN FD 控制器 SBC——TI TCAN4550-Q1 类产品把 CAN FD 控制器 + 收发器 + LDO + 看门狗 全部塞进一颗芯片，通过 SPI 挂到任何不带 CAN 外设的 MCU（或需要多一路 CAN 的 SoC）。这是 SBC 品类的北极：从"MCU 的基础设施"进一步到"连 CAN 协议栈都帮 MCU 处理"。其另一特性 "self-supply capability" 指 SBC 可从总线寄生取电反哺自身 LDO，消除"SBC 自己需要一路外部 LDO 启动"的鸡生蛋问题（源：SBC101 §advanced SBCs）。

PMIC 侧的可编程边界：ST SPSA068（DS14755）展示了现代汽车 PMIC 的典型卖点——所有关键参数（5 V/3.3 V 输出选择、400 kHz/2.4 MHz 开关频率、扩频开关、过流保护阈值、BUCK 限流）通过 NVM 在客户产线首次上电时烧写，芯片出厂"未编程"。这带来两大好处：1 工厂阶段才定型，减少 SKU；2 没有默认编程就没法被误启动，出厂阶段的"静默态"本身就是一种安全冗余。SPSA068 同时具备 1% 精度 VREF（VREF 在上电阶段主动 track $V_{BUCK}$，防止 MCU ADC 在上电瞬间读到偏差基准）、独立 bandgap、SPI CRC、窗口看门狗——它把"PMIC vs SBC"的界限进一步模糊（源：DS14755 §1, §3.3）。

NXP 是车规 SBC 龙头——FS65/FS84/FS86 三代演进,集成度递增。FS86 是最新 SiC 主驱专用版,集成 5V/3.3V LDO + Q&A WD + ADC 监控等。

电源：FS65 = Vpre DC-DC + LDO；FS26 = VPRE 1.5A + Boost 2.7V cranking；FS6600 = 多路 DC-DC。通信：FS65 集成 CAN FD + LIN；FS26 无收发器（灵活配置）；FS6600 集成 CAN FD。应用：FS65 → EPS、BMS、变速箱；FS26 → 逆变器、OBC、区域控制器；FS6600 → 下一代域控。

NXP 是功能安全 SBC 市场份额最大的厂商，三代产品覆盖从传统动力到区域架构（见上表）。Challenger Watchdog 实现见上图。

FS26 的设计哲学变化：FS26 故意不集成 CAN/LIN 收发器——因为在区域架构中，收发器数量和类型因 ECU 而异，分开配置更灵活。FS26 专注做"安全电源 + 安全监控"，收发器用独立 IC（如 TJA1145A）。

两个 Fail-Safe 输出（FS0B + FS1B） 是 NXP 安全 SBC 的标志性特征——它们是独立于 MCU 的硬件输出，直接连接到系统的安全执行器（如 EPS 的电机使能、逆变器的 gate driver 使能）。即使 MCU 完全失效，FS0B/FS1B 仍能将系统置于安全状态。

$V_{PRE}$ 预稳压器拓扑自动识别：MC33907/08 的 $V_{PRE}$ SMPS 前级既可以配成 Buck（$V_{SUP}$ 4.6 ～ 40 V → $V_{PRE}$ 6.25～6.75 V），也可以配成 Non-Inverting Buck-Boost（$V_{SUP}$ 2.7～40 V → $V_{PRE}$ 6.0～7.0 V）——芯片在上电 startup sequence 中通过外部电感/MOSFET 的连接方式自动识别拓扑，免去一个配置引脚。Buck-Boost 拓扑就是用来处理 cold-crank 时 $V_{BAT}$ 跌到 2.7 V 的场景，此时外置 N-MOS（$Gate_{LS}$引脚驱动，22\mu H电感）接力升压，给后级$V_{CORE}$Buck（2.4MHzPWM，$V_{CORE}$1.2～3.3V，0.8A/1.5A）提供稳定6.5V输入。典型$V_{CORE}$ 输出纹波实测约 4.4 mV(pp)（源：AN5099 §4.1.1, §4.1.2.2, Fig.5-6）。

Infineon TLF35584——AURIX 的专属安全伴侣

TLF35584 是 Infineon 与 AURIX MCU 配套设计的 SBC——SPI 协议、寄存器映射、Q&A WD 算法都按 AURIX 优化。类似 NXP S32K + FS65 配对——SoC + SBC 紧耦合是 ASIL D 项目的标配。

TLF35584 是 Infineon 为 AURIX TC2xx/TC3xx 系列量身设计的 ASIL D PMIC（Infineon 称之为 "FuSa-Supply"）：

关键设计理念：TLF35584 的 UV/OV 监测使用独立于主电源的基准电压——如果主基准失效，UV/OV 监测仍然工作。这是 ISO 26262 对"依赖失效（Dependent Failure）"的要求。

与 NXP FS26 的对比：TLF35584 集成了 CAN/LIN 收发器供电 LDO，但没有集成收发器本身——它是 PMIC 而非 SBC。AURIX ECU 典型配置是 TLF35584 (PMIC) + TLE9252 (CAN FD 收发器) + TLE7259 (LIN 收发器)。

NXP MC33907/08 Fail-Safe Machine（FSM）架构

NXP 安全 SBC（MC33907/08）里的 Fail Safe Machine (FSM) 并不是一个"软件状态机"——它是 ASIC 里一块物理上隔离、布局分离的三组件硬核：

• Voltage Supervisor (VS)——监测所有 $V_{PRE}$/$V_{CORE}$/$V_{CCA}$/$V_{AUX}$ 的 UV/OV；
• Fail Safe State Machine (FSSM)——裁决错误，驱动 RSTB 和 FS0B；
• Fail Safe Output driver (FSO)——直接驱动外部安全使能（逆变器 gate driver、EPS MOSFET 等）。 FSM 拥有独立的模拟+数字稳压器 + 独立 bandgap + 独立振荡器——这是避免 ISO 26262 "依赖失效（Common Cause Failure, CCF）"的硬件手段：主供电或主时钟单点失效不会同时瘫痪监控（源：AN5099 §3.5）。

Analog Mux（闭环电压监控）：MC33907/08 还通过 $MU{X}_{OUT}$ 引脚 把 2.5 V 内部基准、$V_{SENSE}$ 电池电压、die 温度、$I{O}_0$/$I{O}_1$ 外部电压多路复用出来给 MCU 的 ADC。$V_{DDIO}$ = 3.3 V/5 V 时有 4 档分压（÷2 / ÷3 / ÷5 / ÷7，tight/wide range 可选）——MCU 可以独立验证 SBC 汇报的 $V_{CORE}$ 是否属实，形成"SBC 监 MCU + MCU 监 SBC"的双向 cross-check（源：AN5099 §3.7）。

MPC57xx FCCU ↔ SBC 错误对出/错误入：MPC5744P 内建 Fault Collection and Control Unit (FCCU)，其 $FCC{U}_F$[0]/[1] 两个输出硬线连到 MC33907/08 的 IO[2]/IO[3]；反向地，SBC 的 INTb 连到 MCU 的 $NM{I}_B$，FS0B 连到 RGM（Reset Generation Module）。这样 MCU 内部 SoR（Sphere of Replication）冗余比对失败 → FCCU → SBC → FS0B 同时触发，形成双通道错误广播（源：AN5099 §2.4, §4.7）。

Q&A 看门狗比普通 watchdog 多检"程序错乱"——普通 WD 只能检"卡死",Q&A 可以检"主循环跑飞但 ISR 还在喂狗"这类失效。这条差异让 Q&A 成为 ASIL C 以上的强制要求。

普通看门狗（Window 模式） 的漏洞：MCU 软件陷入"只会喂狗"的死循环 → 看门狗以为系统正常 → 系统失效但保护没触发。

Q&A（Question & Answer）看门狗 解决了这个问题（见上图）：

L9788 的 WDA（Watchdog Answer） 就是这种机制的实现——通过 MSC 总线传递问答，$ER{R}_{CNT}$ 3-bit 计数器管理升级响应。

关键性：MCU 必须真正执行正确的计算路径才能生成正确答案。单纯"还在跑"或"ISR 里喂狗"都不行——这是 ASIL D 要求的外部独立监控。

L9788 WDA 问答协议的微观细节

L9788 的 Q&A 协议有几个 datasheet 级细节值得记住（源：l9788 DS12308 §4.1-4.1.8）：

• 4-bit 问题 → 32-bit 回答：问题 REQU[3:0] 只有 4 bit（16 个可能值），但对应的回答是 32 bit，分 4 个字节（$RES{P}_{BYTE3}$..0）通过 MSC 分 4 次写入。16 个问题/答案对应的 64 字节查找表固化在芯片内部 ROM（例如 REQU=5 → {3A CA 35 C5}）——MCU 侧软件也要带同一张表。
• 响应时间窗：基于内部 64 kHz RC 时钟，response-time window 1.6 ms ~ 100.8 ms（由 MCU 通过 RESPTIME 寄存器编程），之后有 12.8 ms 固定时间窗——必须在固定窗内写完 $RES{P}_{BYTE0}$ 才算通过。
• $ER{R}_{CNT}$ 上电初值 = 6（不是 0）：这意味着芯片上电后 MCU 必须立即产生一个正确回答才能把计数器降到 ≤ 5 解锁 Safety Loads（驱动输出）。任何启动故障都会直接把 EC 推到 ≥ 7 触发复位。
• 问题只有答对才推进：答错时同一个问题会被重复问，直到答对或 EC 溢出——防止 MCU 用"乱猜循环"碰运气。
• 最大错误反应时间 ≈ 5 × (100.8 + 12.8) ms ≈ 568 ms——从第一个错误到 RSTN 拉低的上限，用于 ASIL 时间故障容忍（FTTI）分析。

L9788 是 ST BCD 工艺制造的多功能 IC，专为 4 缸汽油内燃机 ECU 设计。LQFP100 封装，$T_j$ −40 ～ 175°C，AEC-Q100。

6.1 电源子系统

SBC 电源子系统典型集成 3-5 路输出——5V 主轨、3.3V 给 MCU、1.2V 给内核、低功耗模式专用电源。关键约束:每路独立监控,任一过压/欠压都触发 fail-safe。

L9788 的电源架构与通用 SBC 完全不同——它提供预调节输出而非直接给 MCU 供电：

为什么用 Pre-Boost + Pre-Buck：

• 冷启动场景：−30°C 启动时电池电压可跌至 3～4 V，Pre-Boost 升压维持系统供电
• 正常运行：Pre-Buck 从 12～14 V 降压到 VPRE，后接 VDD5 线性稳压器
• Load Dump：Pre-Buck 限制瞬态过压传递到后级

6.2 功率驱动——一颗芯片替代十颗

SBC 集成驱动让车身/车窗/雨刮控制 ECU 元件数减少 5-10 倍——LSD/HSD 驱动、H 桥、PWM 驱动等都集成在一颗 IC 内。新一代 SBC 甚至集成 100mA 级 LED 驱动给 IND/CHMSL 直接驱。

每个驱动通道都有独立诊断：

• ON 态：过流检测 + 过温检测
• OFF 态：短路到 GND / 短路到 BAT / 开路检测
• 错误上报：通过 MSC 上行帧的 DRIVER DIAGNOSIS 字段

如果不用 L9788，4 个喷油器驱动需要 4 颗 LS 驱动 IC，6 个点火预驱需要 2～3 颗多通道预驱 IC，加上继电器驱动、O2 加热器驱动……总共约 10～15 颗分立 IC。

O2 加热器驱动的独特细节：L9788 的 2 通道 O2 加热器 LS 驱动自带电流检测（CURR_Sense_O2H1,2 引脚 + 外部 Rshunt）——这是用来做空燃比闭环诊断的：三元催化转化器的效率依赖前后氧传感器的温度（300～400 °C 起效），加热器必须按 PWM 精确控温，电流反馈回 MCU 才能识别 "加热器老化 / 导线腐蚀增阻" 这类慢漂移故障（源：l9788 §7.3, Fig.36）。此外 L9788 的 5 路外部 MOSFET 预驱（PRDN1/3）还**可配置成 O2 加热器模式（O2H_PDRV_x bit）**以驱动更高电流的外接 N-MOS——给更严苛的 GDI/大排量应用留余量。

双 bandgap + 双振荡器 + BIST：L9788 集成了 Dual Bandgap + Dual Oscillator，配合 Built-In Self-Test (BIST)——bandgap A 给主回路，bandgap B 给监控回路（Power Supply Independency and Voltage Monitors, §14.1）。这和 NXP MC33907/08 的 FSM 独立 bandgap 思路一致：监控电路的基准不能和被监控对象共源。Analog comparators BIST（§14.2）在启动时自检所有 UV/OV 比较器。

6.3 SEO——Secure Engine Off（安全熄火）

SEO 是 SBC 在 ECU 失电后保留关键数据的机制——电源拔了后 SBC 仍有 ms 级保留电源,把易失数据写入 EEPROM。典型用途:车窗位置、座椅记忆、报警状态。

SEO 是 L9788 的纯硬件安全路径，不依赖 MCU（见上图）。功能安全意义：在 MCU 完全失效（软件跑飞、死机）的情况下，SEO 通过纯硬件路径在 $KE{Y}_{OFF}$ 后独立关断发动机。这满足 ISO 26262 对"安全状态 = 发动机停止"的要求——MCU 失效不影响最终安全动作的执行。

SEO 延迟时间通过 MSC $CONFI{G}_{REG3}$[6:7] 编程，4 档可选（见上表）。

6.4 VRS——曲轴/凸轮轴位置信号接口

L9788 集成了 Variable Reluctance Sensor (VRS) 接口，直接接收曲轴/凸轮轴感应式传感器的差分正弦波信号：

• 输入：FLW_IN_P / FLW_IN_N（差分）
• 输出：$FL{W}_{OUT}$（方波，送 MCU 定时器捕获）
• 模式：自适应迟滞 / 手动迟滞 / 限幅自适应
• 诊断：短路/开路检测

为什么集成 VRS：曲轴位置信号是发动机控制的"心跳"——没有它，MCU 不知道活塞位置，无法定时喷油和点火。VRS 信号处理需要精密迟滞比较器和滤波器，集成到 L9788 内部减少外部元件和 PCB 走线噪声。

6.5 电源状态机与唤醒管理

SBC 电源状态机管理 ECU 多种工作模式——OFF / SLEEP / STANDBY / NORMAL / FLASH。每种模式静态电流不同(从 μA 到 mA),状态切换由唤醒源(CAN、IGN、定时器)触发。

L9788 有复杂的 4 态电源状态机（见上图）：

5 种唤醒源（任意一个可触发 OFF → POWER UP）：

休眠时仅 $V{B}_{STBY}$ 域工作（32 kHz RC 振荡器 + EOT 计数器），其余全部关断。静态电流 < 100 μA。

SBC 电源模式与车辆熄火后的电流预算紧密关联——汽车熄火后整车允许的总静态电流通常只有 5-10mA,SBC 需要在 STANDBY 模式下小于 100μA。

通用 SBC（Infineon OPTIREG 系列）有三级功耗管理（见上表）。整车静态电流预算：100+ ECU × 100 μA/ECU ≈ 10 mA 总线静态电流。如果每个 ECU 消耗 1 mA，45 天停车后 12V 60Ah 电池就会耗尽。SBC 的低功耗模式是整车电池寿命的关键。

CAN Partial Networking（CAN PN）：SBC 在 Sleep 模式下仅监听特定 CAN 唤醒帧（地址匹配），其余 CAN 流量不会唤醒 ECU——进一步降低系统平均功耗。新一代 Infineon OPTIREG SBC 和 ST L99PM 系列均支持。

CAN Wake 的 re-arm 必修流程：当 SBC 通过 CAN 唤醒后，收发器进入 "woken state"（RXD = LOW，CAN wake bit 置位）——此时收发器不会再响应新的 CAN wake 事件，必须人工重启唤醒能力。正确流程是：1 清 wake status register → 2 切换 CAN 模式到 OFF 或 Normal → 3 再切回 wake-capable → 4 进入 Sleep。跳过这步会导致 "一次唤醒后 SBC 永远唤不醒第二次" 的外场故障（源：faq-sbc-general Q14, Q17）。

整车 Iq 预算：Infineon OPTIREG 在 Sleep Mode with CAN PN 下典型 Iq ~30 μA（Sleep）/ 60 μA（Stop），算上 MCU + 收发器 + 外围，整个 ECU Iq 能压到 < 100 μA。这正是 100+ ECU 整车 45 天停放仍能冷启动的背后预算（源：faq-sbc-general Q3；infineon-optireg §5 Energy saving）。

Fail-Safe Output（Limp Home 跛行回家）

SBC 检测到 MCU 失效（看门狗超时、电源异常）后，可以独立于 MCU 驱动 Fail-Safe 输出（也称 Limp Home Output）——在没有 MCU 控制的情况下维持最低安全功能：

• 车身控制模块（BCM）：Fail-Safe 输出直接驱动前后车灯 → 确保夜间可见性
• 车窗控制器：Fail-Safe 输出驱动车窗升降 → 防止雨天无法关窗
• 门控制器：Fail-Safe 输出驱动门锁 → 保证可出入

Infineon SBC 最多支持 3 路 Fail-Safe Output，硬件直连负载，MCU 死了也能工作。

还有一个常被忽略的对偶概念：Fail-Safe Input (FSI)——它是从外部其他 ECU 或传感器进来的"对方告诉我他坏了"的硬线信号。SBC 监视 FSI，一旦触发就把本 ECU 也切到安全态，实现跨 ECU 的硬件级故障传播，不依赖总线（CAN 总线本身可能已挂）。典型场景：EPS 主控芯片告诉底盘 SBC "我的监控异常"，底盘 SBC 立即解除高侧驱动（源：faq-sbc-general Q1, Q4）。

SPI 寄存器回读监控：除了看门狗之外，SBC 另一个被忽视的 fail-safe 机制是 "SPI read-back to verify configuration"——MCU 定期把 SBC 的配置寄存器读回来和它自己的"影子"比对，发现不一致即判定 SBC 受 EMI/单粒子翻转干扰，进入 fail-safe。这覆盖 "看门狗本身通过但 SBC 配置被悄悄破坏" 的盲区（源：faq-sbc-general Q4）。

SBC 与 MCU 通信绝大多数走 SPI——SPI 适合多寄存器配置、高速、点对点。SBC 内部寄存器图谱通常 100+ 个,SPI 是配置 + 监控两类信息流的统一通道。

MSC 的帧结构（简化，见上图）：

MSC 的 Activity Watchdog：如果 MCU 停止发送下行帧超过设定时间，L9788 自动进入安全状态（关断驱动）。这是通信路径上的功能安全机制——不只看 MCU 是否活着，还看通信链路是否畅通。

SBC 选型按 4 个变量分支——MCU 平台(决定 SBC 厂商)、ASIL 等级、电源数、应用类型(动力/底盘/车身)。每个变量都对应一组主流 SBC,组合后通常 1-2 个候选。

注意：L9788 虽然有 Q&A 看门狗，但它不是 ASIL D 认证的 SBC。在 ASIL D 发动机 ECU 中，典型做法是 L9788 (驱动+电源) + 独立安全 SBC (NXP FS8500 等做 ASIL D 监控) 两颗芯片配合。L9788 的 SEO 提供的是硬件级安全路径，不替代完整的 ASIL D 外部监控。

• SBC 的本质是把汽车 ECU 必需但 MCU 不提供的基础设施（电源、总线、看门狗、唤醒）集成到一颗芯片
• Q&A 看门狗是功能安全级 SBC 的核心：MCU 必须运行正确计算路径才能通过验证，单纯"还在跑"无法通过——这是 ASIL D 外部独立监控的关键
• 领域专用伴随 IC（如 L9788）与通用 SBC 的区别在于集成了执行器驱动（喷油器 6A、点火预驱、继电器驱动等），一颗替代 10+ 分立 IC
• L9788 的 SEO（Secure Engine Off） 是纯硬件安全路径：$KE{Y}_{OFF}$ 后独立于 MCU 关断喷油/点火，满足"安全状态 = 熄火"
• MSC（Micro Second Channel） 比 SPI 更适合实时控制场景：差分传输抗 EMI、CRC 校验保完整性、μs 延迟满足喷油定时
• L9788 的电源架构用 Pre-Boost + Pre-Buck 而非直接 LDO，因为发动机 ECU 必须应对冷启动低压（3～4 V）和 Load Dump 高压（+40 V）
• SBC 选型第一个问题是 ASIL 等级：QM 用通用型 SBC，ASIL D 必须有 Q&A 看门狗 + 独立于 MCU 的硬件安全路径
• SBC vs PMIC：有 CAN/LIN 收发器 → SBC；只做电源 → PMIC。两者互补不替代，复杂 ECU（ADAS 域控）可能同时用两颗
• NXP 三代安全 SBC 演进：FS65（传统全集成）→ FS26（安全电源 + 监控，不集成收发器）→ FS6600（下一代域控配套）反映了从"一颗搞定"到"灵活组合"的架构思路
• SBC 市场：2024 年全球约 19 亿美元，预计 2033 年达 43 亿美元（CAGR 9.7%），区域架构对多 CAN 通道 SBC 的需求是主要驱动力
• 冷启动 Pre-Boost：电池电压可跌至 3 V（−30°C 启动），Pre-Boost 将输入升至 7.5～9.5 V 维持后级 DC-DC 正常工作——NXP FS26 的 Boost 控制器支持 2.7 V 最低输入

NXP 功能安全 SBC

• NXP — FS26 Safety SBC Datasheet（ASIL D，S32K3 配套）
• NXP — FS65/FS45 Fact Sheet（ASIL D，CAN FD + LIN 集成）
• NXP — FS6500 Data Sheet（Grade 0/1 安全 SBC）
• NXP — Safety SBC for Automotive Brochure (SBCAUTOBRA4)

Infineon SBC/PMIC

• Infineon — TLF35584 Product Presentation（ASIL D，AURIX 配套）
• Infineon — OPTIREG SBC for TRAVEO MCU Product Selection Guide Q1 2026
• Infineon — FAQ: System Basis Chips (SBCs) — General SBC Topics

领域专用伴随 IC

• ST — L9788 Datasheet DS12308 Rev 4（本页主要参考）
• ST — AN2751: L9952GXP Power Management System IC
• ST — AN3399: L99PM62GXP External Voltage Regulation
• NXP — MC33816 Programmable GDI/PFI Driver

汽车 PMIC

• ST — L5965 Multi-Voltage Regulator for Vision/Radar (DS12567)
• ST — L5964 Dual Step-Down with LDO (DS15070)
• ST — L9396B Multiple Power Supply IC, ASIL D (DS14925)
• ST — SPSA068 PMIC with Buck + VREF for MCU (DS14755)
• ST — SPSB100G PMIC for Integrated Processors + CAN FD (DS14964)

通信协议

• Infineon — AURIX MSC Module Description（Micro Second Channel 协议细节）

应用笔记

• NXP — Integrating the MPC5744P and MC33907/08 for Safety Applications
• ST — L9788 Application Note AN5276
• ST — AN5817: L5965 External Components Sizing
• ST — AN5830: High Voltage Hot Swap, Soft Start and ORing
• ST — AN5921: STPM066S External Components Sizing
• Infineon — Automotive Application Compass 4 Products (ATV AC4P)

• ← 索引
• 汽车电子（Automotive Electronics） — TC38x + L9788 的完整发动机 ECU 架构实例
• 汽车微控制器（Automotive MCU） — SBC 的"搭档"，提供算力和控制逻辑
• 功能安全（Functional Safety） — Q&A 看门狗如何满足 ASIL D 外部独立监控要求
• 安全机制目录 — SBC 提供的 OVP / UV/OV per rail / Q&A WD 在 SM catalog 第 3 节
• SEooC — TLF35584 / FS8500 都是 SEooC ASIL D,验收时核对 external SM assumption
• 电源设计（Power Supply） — Pre-Boost / Pre-Buck / LDO 的拓扑选择
• 保护器件（TVS / ESD / 过压保护） — Load Dump 对 SBC 电源域的冲击
• Automotive Auxiliary Power Supply DC-DC Converters
• CAN / CAN FD / LIN 总线（Automotive Bus Protocols）
• 高侧开关及控制器（High-Side Switch）