2 滿足功能安全要求的安全 MCU 電源設(shè)計(jì)

假設(shè)安全 MCU 需要 3.3V 電源軌。圖 2-1 所示為典型的功率架構(gòu)。

需要監(jiān)控 3.3V 電源輸出是否存在電源欠壓或過壓等故障。如果出現(xiàn)上述任一情況，MCU 可能會(huì)在不安全狀態(tài)下運(yùn)行，因此需要將 MCU 復(fù)位為關(guān)閉狀態(tài)并將系統(tǒng)轉(zhuǎn)換為安全狀態(tài)。

設(shè)計(jì)人員必須考慮如何設(shè)計(jì)安全 MCU 電源，以在系統(tǒng)級(jí)別達(dá)到 ASIL B 的隨機(jī)硬件故障要求。一個(gè)建議的修復(fù)方法是使用外部監(jiān)控器來監(jiān)控電源輸出。監(jiān)控器與電源輸出無關(guān)，因此不會(huì)出現(xiàn)共因失效。由于監(jiān)控器性能高且精度高，因此電源過壓和欠壓的診斷覆蓋范圍很高。

使用功能安全型穩(wěn)壓器的集成 PGOOD 引腳作為監(jiān)測(cè)欠壓和過壓故障的安全機(jī)制可能不足以滿足 ASIL B 要求。PGOOD 電路可能不會(huì)獨(dú)立于電源的穩(wěn)壓器電路，因?yàn)檫@些電路可能共享相同的內(nèi)部帶隙。如果帶隙漂移超出規(guī)格，則 PGOOD 也會(huì)發(fā)生故障，不會(huì)捕獲欠壓和過壓故障；這稱為共因失效。PGOOD 的診斷覆蓋率可能低于 90%，不符合 ASIL B ≥ 90% 的單點(diǎn)故障指標(biāo) (SPFM)。

圖 3-4 和圖 2-3 介紹了使用各種監(jiān)控器且面向 ASIL B 的參考設(shè)計(jì)。

在圖 3-4 中，TPS3703-Q1 是一款具有高精度欠壓和過壓監(jiān)控器的窗口監(jiān)控器。TPS3850-Q1 是一款具有集成式窗口看門狗的窗口監(jiān)控器。兩種器件都支持 V_IN 和 SENSE 引腳上高達(dá) 6.5V 的輸入電壓。如果穩(wěn)壓器過壓故障導(dǎo)致超過 6.5V_OUT，則該過壓會(huì)超出監(jiān)控器的絕對(duì)最大電壓輸入范圍，并會(huì)導(dǎo)致監(jiān)控器失效或損壞。但是，此過壓通常也會(huì)超過 MCU 的最大工作電壓。MCU 發(fā)生嚴(yán)重故障甚至損壞。在數(shù)字駕駛艙或儀表組中，MCU 損壞會(huì)導(dǎo)致黑屏，這被視為安全狀態(tài)。

如果擔(dān)心過壓高于 6.5V，則應(yīng)考慮 TPS37A-Q1。該器件是一款寬 V_IN 監(jiān)控器，支持 V_IN 和 SENSE 引腳上高達(dá) 65V 的電壓，這樣 V_IN 可以直接連接到電池。該監(jiān)控器會(huì)監(jiān)控電源輸出，并在檢測(cè)到欠壓或過壓事件時(shí)將 MCU 復(fù)位至安全狀態(tài)。