SBC / 伴随 IC（System Basis Chip）

通用型 SBC 追求覆盖大多数应用(车身、域控、ECU 等),领域专用型 SBC 针对单一应用极度优化(如 EV 主驱专用、ADAS 专用)。两者价格差 2-5×,选错让 BOM 显著膨胀。

TLF35584 是 Infineon 与 AURIX MCU 配套设计的 SBC——SPI 协议、寄存器映射、Q&A WD 算法都按 AURIX 优化。类似 NXP S32K + FS65 配对——SoC + SBC 紧耦合是 ASIL D 项目的标配。

TLF35584 是 Infineon 为 AURIX TC2xx/TC3xx 系列量身设计的 ASIL D PMIC（Infineon 称之为 "FuSa-Supply"）：

关键设计理念：TLF35584 的 UV/OV 监测使用独立于主电源的基准电压——如果主基准失效，UV/OV 监测仍然工作。这是 ISO 26262 对"依赖失效（Dependent Failure）"的要求。

与 NXP FS26 的对比：TLF35584 集成了 CAN/LIN 收发器供电 LDO，但没有集成收发器本身——它是 PMIC 而非 SBC。AURIX ECU 典型配置是 TLF35584 (PMIC) + TLE9252 (CAN FD 收发器) + TLE7259 (LIN 收发器)。

NXP 安全 SBC（MC33907/08）里的 Fail Safe Machine (FSM) 并不是一个"软件状态机"——它是 ASIC 里一块物理上隔离、布局分离的三组件硬核：

• Voltage Supervisor (VS)——监测所有 $VPRE$/$VCORE$/$VCCA$/$VAUX$ 的 UV/OV；
• Fail Safe State Machine (FSSM)——裁决错误，驱动 RSTB 和 FS0B；
• Fail Safe Output driver (FSO)——直接驱动外部安全使能（逆变器 gate driver、EPS MOSFET 等）。 FSM 拥有独立的模拟+数字稳压器 + 独立 bandgap + 独立振荡器——这是避免 ISO 26262 "依赖失效（Common Cause Failure, CCF）"的硬件手段：主供电或主时钟单点失效不会同时瘫痪监控（源：AN5099 §3.5）。

Analog Mux（闭环电压监控）：MC33907/08 还通过 $MU{X}_{OUT}$ 引脚 把 2.5 V 内部基准、$VSENSE$ 电池电压、die 温度、$I{O}_0$/$I{O}_1$ 外部电压多路复用出来给 MCU 的 ADC。$VDDIO$ = 3.3 V/5 V 时有 4 档分压（÷2 / ÷3 / ÷5 / ÷7，tight/wide range 可选）——MCU 可以独立验证 SBC 汇报的 $VCORE$ 是否属实，形成"SBC 监 MCU + MCU 监 SBC"的双向 cross-check（源：AN5099 §3.7）。

MPC57xx FCCU ↔ SBC 错误对出/错误入：MPC5744P 内建 Fault Collection and Control Unit (FCCU)，其 $FCC{U}_F$[0]/[1] 两个输出硬线连到 MC33907/08 的 IO[2]/IO[3]；反向地，SBC 的 INTb 连到 MCU 的 $NM{I}_B$，FS0B 连到 RGM（Reset Generation Module）。这样 MCU 内部 SoR（Sphere of Replication）冗余比对失败 → FCCU → SBC → FS0B 同时触发，形成双通道错误广播（源：AN5099 §2.4, §4.7）。

L9788 的 Q&A 协议有几个 datasheet 级细节值得记住（源：l9788 DS12308 §4.1-4.1.8）：

• 4-bit 问题 → 32-bit 回答：问题 REQU[3:0] 只有 4 bit（16 个可能值），但对应的回答是 32 bit，分 4 个字节（$RES{P}_{BYTE3}$..0）通过 MSC 分 4 次写入。16 个问题/答案对应的 64 字节查找表固化在芯片内部 ROM（例如 REQU=5 → {3A CA 35 C5}）——MCU 侧软件也要带同一张表。
• 响应时间窗：基于内部 64 kHz RC 时钟，response-time window 1.6 ms ~ 100.8 ms（由 MCU 通过 RESPTIME 寄存器编程），之后有 12.8 ms 固定时间窗——必须在固定窗内写完 $RES{P}_{BYTE0}$ 才算通过。
• $ER{R}_{CNT}$ 上电初值 = 6（不是 0）：这意味着芯片上电后 MCU 必须立即产生一个正确回答才能把计数器降到 ≤ 5 解锁 Safety Loads（驱动输出）。任何启动故障都会直接把 EC 推到 ≥ 7 触发复位。
• 问题只有答对才推进：答错时同一个问题会被重复问，直到答对或 EC 溢出——防止 MCU 用"乱猜循环"碰运气。
• 最大错误反应时间 ≈ 5 × (100.8 + 12.8) ms ≈ 568 ms——从第一个错误到 RSTN 拉低的上限，用于 ASIL 时间故障容忍（FTTI）分析。

SBC 电源子系统典型集成 3-5 路输出——5V 主轨、3.3V 给 MCU、1.2V 给内核、低功耗模式专用电源。关键约束:每路独立监控,任一过压/欠压都触发 fail-safe。

L9788 的电源架构与通用 SBC 完全不同——它提供预调节输出而非直接给 MCU 供电：

为什么用 Pre-Boost + Pre-Buck：

• 冷启动场景：−30°C 启动时电池电压可跌至 3～4 V，Pre-Boost 升压维持系统供电
• 正常运行：Pre-Buck 从 12～14 V 降压到 VPRE，后接 VDD5 线性稳压器
• Load Dump：Pre-Buck 限制瞬态过压传递到后级

SBC 集成驱动让车身/车窗/雨刮控制 ECU 元件数减少 5-10 倍——LSD/HSD 驱动、H 桥、PWM 驱动等都集成在一颗 IC 内。新一代 SBC 甚至集成 100mA 级 LED 驱动给 IND/CHMSL 直接驱。

每个驱动通道都有独立诊断：

• ON 态：过流检测 + 过温检测
• OFF 态：短路到 GND / 短路到 BAT / 开路检测
• 错误上报：通过 MSC 上行帧的 DRIVER DIAGNOSIS 字段

如果不用 L9788，4 个喷油器驱动需要 4 颗 LS 驱动 IC，6 个点火预驱需要 2～3 颗多通道预驱 IC，加上继电器驱动、O2 加热器驱动……总共约 10～15 颗分立 IC。

O2 加热器驱动的独特细节：L9788 的 2 通道 O2 加热器 LS 驱动自带电流检测（CURR_Sense_O2H1,2 引脚 + 外部 Rshunt）——这是用来做空燃比闭环诊断的：三元催化转化器的效率依赖前后氧传感器的温度（300～400 °C 起效），加热器必须按 PWM 精确控温，电流反馈回 MCU 才能识别 "加热器老化 / 导线腐蚀增阻" 这类慢漂移故障（源：l9788 §7.3, Fig.36）。此外 L9788 的 5 路外部 MOSFET 预驱（PRDN1/3）还**可配置成 O2 加热器模式（O2H_PDRV_x bit）**以驱动更高电流的外接 N-MOS——给更严苛的 GDI/大排量应用留余量。

双 bandgap + 双振荡器 + BIST：L9788 集成了 Dual Bandgap + Dual Oscillator，配合 Built-In Self-Test (BIST)——bandgap A 给主回路，bandgap B 给监控回路（Power Supply Independency and Voltage Monitors, §14.1）。这和 NXP MC33907/08 的 FSM 独立 bandgap 思路一致：监控电路的基准不能和被监控对象共源。Analog comparators BIST（§14.2）在启动时自检所有 UV/OV 比较器。

SEO 是 SBC 在 ECU 失电后保留关键数据的机制——电源拔了后 SBC 仍有 ms 级保留电源,把易失数据写入 EEPROM。典型用途:车窗位置、座椅记忆、报警状态。

SEO 是 L9788 的纯硬件安全路径，不依赖 MCU（见上图）。功能安全意义：在 MCU 完全失效（软件跑飞、死机）的情况下，SEO 通过纯硬件路径在 $KE{Y}_{OFF}$ 后独立关断发动机。这满足 ISO 26262 对"安全状态 = 发动机停止"的要求——MCU 失效不影响最终安全动作的执行。

SEO 延迟时间通过 MSC $CONFI{G}_{REG3}$[6:7] 编程，4 档可选（见上表）。

L9788 集成了 Variable Reluctance Sensor (VRS) 接口，直接接收曲轴/凸轮轴感应式传感器的差分正弦波信号：

• 输入：FLW_IN_P / FLW_IN_N（差分）
• 输出：$FL{W}_{OUT}$（方波，送 MCU 定时器捕获）
• 模式：自适应迟滞 / 手动迟滞 / 限幅自适应
• 诊断：短路/开路检测

为什么集成 VRS：曲轴位置信号是发动机控制的"心跳"——没有它，MCU 不知道活塞位置，无法定时喷油和点火。VRS 信号处理需要精密迟滞比较器和滤波器，集成到 L9788 内部减少外部元件和 PCB 走线噪声。

SBC 电源状态机管理 ECU 多种工作模式——OFF / SLEEP / STANDBY / NORMAL / FLASH。每种模式静态电流不同(从 μA 到 mA),状态切换由唤醒源(CAN、IGN、定时器)触发。

L9788 有复杂的 4 态电源状态机（见上图）：

5 种唤醒源（任意一个可触发 OFF → POWER UP）：

休眠时仅 $V{B}_{STBY}$ 域工作（32 kHz RC 振荡器 + EOT 计数器），其余全部关断。静态电流 < 100 μA。

SBC 检测到 MCU 失效（看门狗超时、电源异常）后，可以独立于 MCU 驱动 Fail-Safe 输出（也称 Limp Home Output）——在没有 MCU 控制的情况下维持最低安全功能：

• 车身控制模块（BCM）：Fail-Safe 输出直接驱动前后车灯 → 确保夜间可见性
• 车窗控制器：Fail-Safe 输出驱动车窗升降 → 防止雨天无法关窗
• 门控制器：Fail-Safe 输出驱动门锁 → 保证可出入

Infineon SBC 最多支持 3 路 Fail-Safe Output，硬件直连负载，MCU 死了也能工作。

还有一个常被忽略的对偶概念：Fail-Safe Input (FSI)——它是从外部其他 ECU 或传感器进来的"对方告诉我他坏了"的硬线信号。SBC 监视 FSI，一旦触发就把本 ECU 也切到安全态，实现跨 ECU 的硬件级故障传播，不依赖总线（CAN 总线本身可能已挂）。典型场景：EPS 主控芯片告诉底盘 SBC "我的监控异常"，底盘 SBC 立即解除高侧驱动（源：faq-sbc-general Q1, Q4）。

SPI 寄存器回读监控：除了看门狗之外，SBC 另一个被忽视的 fail-safe 机制是 "SPI read-back to verify configuration"——MCU 定期把 SBC 的配置寄存器读回来和它自己的"影子"比对，发现不一致即判定 SBC 受 EMI/单粒子翻转干扰，进入 fail-safe。这覆盖 "看门狗本身通过但 SBC 配置被悄悄破坏" 的盲区（源：faq-sbc-general Q4）。

MPC5643L 负责片内计算域的自检，MC33907/08 负责片外供电域和监督域的独立裁决，两者解决的是不同层级的单点失效问题。前者通过 SoR 把关键计算与数据通路复制，再由 RCCU 比较；后者则把 MCU 自己无法独立证明的外部电源、watchdog、上电、唤醒和 fail-safe 输出收拢到独立状态机里。只有这两部分同时存在，系统才能在 CPU 已经异常时仍继续发现故障并把故障广播出去。

• MPC5643L 的 SoR 复制覆盖 CPU、DMA、interrupt controller、crossbar、memory protection unit、flash / RAM controller、peripheral bus bridge、system timer 和 watchdog timer 等关键单元。
• RCCU 负责逐点比较复制结果，FCCU 再把 RCCU 告警、ECC 错误和外部错误脚汇总成统一 fault 出口。
• MC33907/08 负责多路稳压、Voltage Supervisor、窗口式 challenger watchdog、Fail Safe State Machine、FS0B 和 BIST，本质上是在 MCU 外面再放一层独立裁判。

因此这套方案天然形成三条彼此独立的路径：DSPI 负责配置、诊断和 watchdog 刷新；FCCU / INTb / FS0B 负责硬线故障传播；Analog Mux -> MCU ADC 让 MCU 反向观测 SBC 的内部参考、电池感知和芯片温度。这样做的目的，是把“功能控制”“本地监督”“系统断能”拆成不同失效路径，避免单一总线或单一软件上下文同时切断控制与监督。

在这对器件里，安全闭环不是从 watchdog 刷新失败那一刻才开始，而是从第一路 rail 的定义就开始了。MCU 真正敏感的不是名义上有无 3.3 V，而是主数字 rail 是否干净、ADC 参考是否一致、冷启动和高压扰动是否会直接穿透到测量与复位门槛。

Vsup1/2/3 与 Vsense 可以承受最高 40 V，但这不等于可以把电池裸接到所有前端节点。功率路径前仍需要反接保护和输入滤波，而 Vsense 应在二极管前取样，目的是让监督器看到真实电池状态，同时不把功率通道的反接和瞬态噪声直接带进测量链。VPRE 在 buck 模式下先稳到 6.25 ~ 6.75 V，再作为后级 VCORE 和其它稳压器的中间母线，因此它更像“干净母线”而不是 MCU 直接使用的工作电源。

VCORE 的 3.3 V 不是凭经验估出来的，而是由 FB_core 的 0.8 V 基准和外部分压确定：

文档进一步把输出纹波拆成 ESR 分量与电容分量，在 $VIN=6.5\mathrm{V}$、$VOUT=3.3\mathrm{V}$、$fsw=2.4\mathrm{MHz}$、$L=2.2\mu \mathrm{H}$ 的条件下得到：

实测约 40 mV(pp) 的结果说明，这一代平台的关键不是把纹波压到看起来更漂亮的个位数 mV，而是确认去耦、纹波和 ADC 参考窗口彼此一致，不会把模拟测量、POR 或 UVLO 误推到危险边界。

VCCA 与 VAUX 的组合则由 SELECT 到 GND 的电阻决定，因此它不是后期可随手修改的外围参数，而是会同时改变参考精度和外部传感器供电预算的系统设定：

• 5 kΩ：VCCA = 3.3 V，VAUX = 3.3 V
• 24 kΩ：VCCA = 3.3 V，VAUX = 5 V
• 50 kΩ：VCCA = 5 V，VAUX = 3.3 V
• 12 kΩ：VCCA = 5 V，VAUX = 5 V

如果 VCCA 只靠内部 ballast，输出电流约 100 mA、精度约 ±1 %；外挂 PNP 扩流后可到 300 mA，但精度放宽到 ±3 %。这说明 VCCA 一旦同时承担 ADC 参考和外部负载供电，就必须重新核对“参考精度预算”和“负载电流预算”是否仍能兼容，不能把扩流仅仅视为电流问题。

接地和上电顺序则决定这些监控值到底是不是“真故障”。AGND、GND_COM、DGND 之外，PCB 还应把高 di/dt 回路单独收进 PGND，并让 MCU 与参考测量尽量回到不被功率回流污染的地参考。否则 ADC 看到的异常电压、SBC 判到的欠压、甚至 watchdog 触发的复位，都可能只是地弹噪声而不是真故障。上电门槛同样是硬边界：Vsup < 2.7 V 时系统处于 power-on-reset，只有 Vsup 升到 5.3 V 左右后 VPRE 才开始启动并带起后级 rail；在 3.3 V rail 稳定且 BIST 关闭后，SBC 还会在约 3 ms 后才释放 RESET_B。这说明安全软件真正开始运行的起点，不是电池接上的瞬间，而是外部监督器确认各路电源进入合法窗口之后。

MPC5643L 片内已经覆盖了不少电压监控，但它并没有把所有关键 rail 的欠压和过压都成对覆盖。对 1.2 V core 电源，它具备 duplicated LVD_DIG 与 duplicated HVD_DIG；对主 3.3 V 电源，则只有 LVD_MAIN 欠压检测，没有对应的高压监控。也就是说，MCU 可以知道 3.3 V 掉下去，却无法仅凭自己证明 3.3 V 没有飘高。对 ASIL D 而言，这个盲区不能留给软件解释，必须由片外独立监督器补齐。

MC33907/08 的做法，是通过 FB_core 和各路稳压器的比较器持续监督控制环是否还落在合法窗口内。这样它既能发现 rail 彻底崩掉，也能发现环路仍在工作但目标点已经漂出安全范围的异常。工程上最常用的几组门槛可以压缩成下面这个判断表：

这里最重要的不是死记门限，而是理解监督动作的语义。以 FB_core 为例，典型目标点是 0.8 V；一旦它漂到最小过压门槛 0.84 V，对应的 VCORE 已经接近 3.43 V，系统进入的不是“有点偏高”的调节误差，而是足以触发安全动作的异常区。MC33907/08 可以在初始化阶段配置这类 UV/OV 事件的反应方式：拉低 RSTb 让 MCU 复位，或者直接拉低 FS0B 去驱动外部断能电路。前者处理“控制器状态已经不可信”，后者处理“执行器继续带电本身就有风险”。如果 VCCA 和 VAUX 被改为 5 V 配置，整套监督窗口也会一起上移，这再次说明电源配置、ADC 参考配置和监控阈值必须作为一个整体审核。

真正把这套方案拉到系统级安全闭环的，不是单个模块有多强，而是故障可以沿着独立链路逐级升级。CAN、SPI、RSTb、INTb 和 FS0B 在这里承担的不是同类“接口”职责，而是不同层级的安全动作角色：CAN 负责 ECU 对外通信，SPI 负责本地配置、诊断和 watchdog 刷新，RSTb 负责把 MCU 拉回已知初态，FS0B 负责越过 CPU 直接切断执行器功率路径。

外部 watchdog 采用的是 question-and-answer 机制，而不是简单脉冲喂狗。MCU 在 INIT 阶段先通过 SPI 写入 8-bit seed 初始化 SBC 内部 LFSR，之后必须在每个 open window 内给出正确答案；答案错误、时机错误或超时都会被视为监督失败。这种设计专门针对“程序已经跑飞，但还在周期性输出某个刷新动作”的失效模式。窗口时间可配置为 1 ms 到 1024 ms，默认 256 ms、占空比 50%，选值时必须覆盖最长复位序列和 BIST 时间，否则系统可能在一次合法复位尚未完成前就再次被判为失效。

更关键的是它不是“一次超时就重启”这么简单，而是有一套逐级升级的计数链：

1. 每次错误 refresh，WD error counter 加 2，同时 INTb 置位。
2. 每次正确 refresh，WD error counter 减 1，说明系统可以用连续正确行为洗掉瞬态异常。
3. 当 WD error counter = 6 时，SBC 触发复位，并把 RST error counter 加 1。
4. 只有连续 7 次正确 refresh，RST error counter 才允许减 1。
5. 当 RST error counter 持续升高到 fail-safe 门槛后，FS0B 被激活；若错误继续累积，SBC 会关断稳压器并进入 deep reset。

这条升级链的意义在于，它把“偶发窗口错误”“持续监督失败”“执行器必须立即断能”区分成不同风险层级，避免系统在单次瞬态下过度动作，也避免系统在持续失效时陷入无限重启却永远不进入安全态。

FCCU 外部错误输出则补上了另一条独立路径：即使 MCU 还没有完全失去执行能力，只要片内 RCCU、ECC 或其它故障已经被 FCCU 判定为严重异常，FCCU_F[0] / FCCU_F[1] 也能通过 MC33907/08 的 IO_2 / IO_3 被片外监督器看到。这里采用的是 bi-stable protocol：正常态为 01，fault 态翻转成 10，而 reset 或 self-test 阶段两线为 high-impedance。这样监督器不仅能知道“是否有 fault”，还能检查这对引脚是否仍保持互补编码，从而降低单线短路或 stuck-at 被误判为合法状态的风险。

把 watchdog 链和 FCCU 链合起来看，就能看到一条完整的系统动作路径：

• INTb -> EIRQ：软件参与记录、降级和受控诊断。
• RSTb -> RESET_B：控制器状态已不可信时，先硬件复位 MCU。
• FS0B -> 外部断能电路：风险已经超出“复位一下也许能恢复”的层级时，直接切断执行器功率。

因此，MPC5643L + MC33907/08 的价值不是“多了一颗电源管理芯片”，而是把 电源窗口 -> 本地监督 -> 错误编码 -> 硬件复位 -> 外部断能 串成一条可以越过 CPU 直接动作的安全链。只有这条链每一环都独立、都能落到真实硬件动作上，安全 MCU 的片内冗余才不会停留在芯片内部自证。