本文介绍了飞思卡尔最新的PowerSBC功率系统基础芯片MC33907/08，此款芯片集成了电源管理模块，低功耗模式可延长电池寿命。此产品集成了符合最新的电气/ESD/EMC汽车规范的高速CAN接口。该产品是实现 Automotive Safety Integrity Level D（以下简称ASIL-D）安全应用的理想选择。

随着汽车行业向电子化发展，汽车功能越来越复杂，对于安全的需求也面临着也越来越大的压力。现代化汽车需要完备的安全功能，这些功能越来越多地由电子设备执行，而ISO26262认证体系旨在规范电子系统的安全性设计，避免车辆出现事故，在事故发生之前及时采取控制措施。传统的解决方案采用分立电源器件，独立的CAN总线芯片，并由专用的MCU以及电源监测电路进行系统故障监测与保护。而飞思卡尔全新的集成了功率系统基础芯片的方案不仅节省了成本和空间，在高效能工作的同时，更加安全可靠。

为了保护运行在恶劣环境中的汽车电子部件，飞思卡尔新一代功率系统基础芯片（PowerSBC）MC33907/08结合了开关型稳压器（SMPS）、低压差稳压器和物理层高速CAN收发器, 通过串行外围接口（SPI）与汽车级单片机（MCU）组合。这种布置被广泛应用于车门系统、电动后视镜、电动车窗、天窗、多功能转向盘、空调、风扇控制、照明控制和CAN网络等, 并能提供ASIL-D安全级别的解决方案。

芯片介绍

PowerSBC功率系统基础芯片分为两种型号：即MC33907和MC33908,两者的区别在于Vcore模块输出电流的不同，MC33907是0.8A, 而MC33908是1.5A。本文以MC33908为例说明（见图1）。

1.电源管理部分

高度灵活的开关型（SMPS）前置稳压器，支持两种拓扑技术，非反相升降压或标准降压；

针对起动情况配备开关型前置稳压器的升压拓扑，支持低至2.7V的起动电压，提升系统稳定性；

开关模式降压型稳压器Vcore用于为MCU内核供电，支持1.2V或3.3V两种电压，电源电流为1.5A；

VCCA线性稳压器用于为MCU的模数转换器、其参考电压或I/O供电，电源电压5.0V或3.3V；

VAUX线性稳压器用于辅助电路供电，支持5.0V或3.3V两种电压；

VCAN线性稳压器用于内部CAN总线供电，电源电流100mA；

CAN总线唤醒、I/O及电流监测唤醒等；

具有蓄电池电压实时监测和蓄电池反向保护功能；

低功耗模式下静态电流低至30uA等。

图2  PowerSBC MC33908 的硬件安全架构实施SafeAssure功能安全计划

2.安全监测部分

独立的用于监测电源故障的安全监控单元；

故障安全输入（来自MCU故障采集和控制单元监控FCCU）和外部模拟IC错误处理功能；

故障安全输出（RST引脚和FS引脚）支持故障监控功能关闭“失效”的系统；

用于MCU定时监控的高级看门狗（挑战者challenger算法）等。

3.物理接口部分

通过ISO 11898-2和ISO 11898-5体系认证的高速CAN物理接口；

6个具有唤醒功能且可配置的I/O端口，其中4个I/O端口具有负载突降保护功能；

ESD±8kV（150pF/330Ω）静电测试功能；

通过模拟复用器MUX采集如内部参考电压、电池电压和温度以及外部模拟输入等关键模拟信号。

芯片应用

衡量汽车系统是否达到功能安全，需要一系列验证。如图2所示，飞思卡尔引入SafeAssure功能安全系统以帮助汽车厂商从系统级层面简化评估流程并使产品更好地兼容ISO 26262标准。我们认为“功能安全”的定义就是规避系统故障带来的风险，这些故障可以分成两类，即系统故障和随机故障。

系统故障的产生有特定的原因，并可根据生产流程、操作过程、文档记录或其他相关因素的改进而消除。通过稳健的开发流程，这类系统故障的发生率可以大大减小。

随机故障在电子系统的运行过程中无法预料，有一定的概率分布。这类故障可能来自持续或者瞬间扰动的工作环境以及半导体技术的局限，通过对电路架构和芯片本身的改进可以减少这类故障。

汽车行业在2011年11月15日发布了ISO 26262:2011（E）标准，这个标准描述了“道路车辆—功能安全”概念, 实际是将安全标准IEC 61508（E/E）引入汽车电子/电气系统。

飞思卡尔SafeAssure功能安全计划有如下特点：

1.安全流程——ISO 26262 ASIL D：

架构和开发流程的安全措施（ISO 26262）；

有助于降低ECU功能安全评估的工作量和时间；

配置双核锁步MCU的流程定义，故障采集和控制单元（FCCU）监控。

2.安全硬件——集成式安全架构（ISA）

无需额外的软件，节省开发的工作量和时间（仅限1个主MCU）；

独立的电压监控和故障安全状态机；

高级硬件诊断功能，涵盖单点失效（SPF）、潜在失效（LT）和共因失效（CCF）。

3.安全软件——安全的SBC和MCU软件交互

包括安全状态机等多种寄存器，有助于软件诊断；

安全的SPI通信，确保访问安全状态机；

高级看门狗挑战者算法可以确保准确与MCU时间同步。

4.安全文档——由飞思卡尔提供安全实施

MC33907/08 SBC和MPC5643L MCU应用笔记；

安全手册、故障模式影响和诊断分析（FMEDA）和完整的生态体系有助于实现快速、轻松的开发。

如图3所示，由两个MCU组合实现EPS安全系统，此架构的特点是与安全相关的特性和功能在物理上通过冗余备份来实现，但是硬件的复杂、软件的交互以及更多的PCB空间大大减少了系统功能的有效性和可靠性，并且此配置可能会引起难以克服的瞬态故障。如图4所示，集成电源管理功能的功率系统基础芯片PowerSBC解决方案，不仅减小了PCB面积而且简化了系统设计，MCU采用锁步模式，PowerSBC实时电源监测使得系统更加安全，同时节省了软件开发时间。

3. 汽车安全

在应用中，推荐使用飞思卡尔的MCU MPC5643L来配合PowerSBC MC33908, 它是一颗具有内核、存储单元、通信接口等内置自测（BIST）功能的集成安全体系结构的双核32位汽车级单片机。MPC5643L不仅提供了监测内部核心电压以及flash电源电压的模块，而且包含了检测时钟偏差的模块，同时它复制了内核及其关键子模块，例如交叉开关矩阵、内存保护单元、中断控制器、DMA和看门狗定时器等使得单点故障监测范围更加广泛。在此系统中，MC33908高效的电源管理模块给MCU供电并进行实时监测，在多重安全机制的保护下，轻松实现ASIL-D安全级应用。

如图5所示，飞思卡尔功率系统基础芯片MC33908和汽车级MCU MPC5643L连接，MC33908通过输出精度高达1%的VREGx向MPC5643L及外设提供电源，VREGx包含电源输出模块：Vcore、Vcca和Vaux，它们分别连接到MCU VDD_HV_REG、I/O端口、ADC和ADC Reference等，每路输出电压均有过压和欠压实时监测保护。MPC5643L也具备内部电压监测功能，通过SPI通信接口进行MC33908寄存器配置和看门狗刷新。

MC33908内建可配置看门狗时间窗, 根据可靠的挑战者（Challenger）算法进行系统故障分辨和恢复。

MC33908的I/O端口连接MPC5643L的故障采集和控制单元（FCCU）output pins FCCU_F[0] and FCCU_F[1]进行故障监测，一旦故障发生，MC33908将通过RSTb信号复位MCU, 同时故障保护信号将启动应急装置。这一系列的MC33908和MPC5643L系统交互出色地实现了汽车ASIL-D安全级别解决方案。

结束语

飞思卡尔功率系统基础芯片PowerSBC MC33907/08采用LQFP-48封装，且尺寸很小（7mm×7mm），相比传统的分立器件方案不仅节省了大量的空间，而且系统的兼容性、可靠性和安全性大大提高。此款产品能够与汽车级MCU MPC5643L一起是实现 Automotive Safety Integrity Level D（ASIL-D）安全级别应用方案，是汽车主动安全系统芯片的理想选择。