2 滿足功能安全要求的安全 MCU 電源設計

假設安全 MCU 需要 3.3V 電源軌。圖 2-1 所示為典型的功率架構。

需要監控 3.3V 電源輸出是否存在電源欠壓或過壓等故障。如果出現上述任一情況，MCU 可能會在不安全狀態下運行，因此需要將 MCU 復位為關閉狀態并將系統轉換為安全狀態。

設計人員必須考慮如何設計安全 MCU 電源，以在系統級別達到 ASIL B 的隨機硬件故障要求。一個建議的修復方法是使用外部監控器來監控電源輸出。監控器與電源輸出無關，因此不會出現共因失效。由于監控器性能高且精度高，因此電源過壓和欠壓的診斷覆蓋范圍很高。

使用功能安全型穩壓器的集成 PGOOD 引腳作為監測欠壓和過壓故障的安全機制可能不足以滿足 ASIL B 要求。PGOOD 電路可能不會獨立于電源的穩壓器電路，因為這些電路可能共享相同的內部帶隙。如果帶隙漂移超出規格，則 PGOOD 也會發生故障，不會捕獲欠壓和過壓故障；這稱為共因失效。PGOOD 的診斷覆蓋率可能低于 90%，不符合 ASIL B ≥ 90% 的單點故障指標 (SPFM)。

圖 3-4 和圖 2-3 介紹了使用各種監控器且面向 ASIL B 的參考設計。

在圖 3-4 中，TPS3703-Q1 是一款具有高精度欠壓和過壓監控器的窗口監控器。TPS3850-Q1 是一款具有集成式窗口看門狗的窗口監控器。兩種器件都支持 V_IN 和 SENSE 引腳上高達 6.5V 的輸入電壓。如果穩壓器過壓故障導致超過 6.5V_OUT，則該過壓會超出監控器的絕對最大電壓輸入范圍，并會導致監控器失效或損壞。但是，此過壓通常也會超過 MCU 的最大工作電壓。MCU 發生嚴重故障甚至損壞。在數字駕駛艙或儀表組中，MCU 損壞會導致黑屏，這被視為安全狀態。

如果擔心過壓高于 6.5V，則應考慮 TPS37A-Q1。該器件是一款寬 V_IN 監控器，支持 V_IN 和 SENSE 引腳上高達 65V 的電壓，這樣 V_IN 可以直接連接到電池。該監控器會監控電源輸出，并在檢測到欠壓或過壓事件時將 MCU 復位至安全狀態。