2 满足功能安全要求的安全 MCU 电源设计

假设安全 MCU 需要 3.3V 电源轨。图 2-1 所示为典型的功率架构。

需要监控 3.3V 电源输出是否存在电源欠压或过压等故障。如果出现上述任一情况，MCU 可能会在不安全状态下运行，因此需要将 MCU 复位为关闭状态并将系统转换为安全状态。

设计人员必须考虑如何设计安全 MCU 电源，以在系统级别达到 ASIL B 的随机硬件故障要求。一个建议的修复方法是使用外部监控器来监控电源输出。监控器与电源输出无关，因此不会出现共因失效。由于监控器性能高且精度高，因此电源过压和欠压的诊断覆盖范围很高。

使用功能安全型稳压器的集成 PGOOD 引脚作为监测欠压和过压故障的安全机制可能不足以满足 ASIL B 要求。PGOOD 电路可能不会独立于电源的稳压器电路，因为这些电路可能共享相同的内部带隙。如果带隙漂移超出规格，则 PGOOD 也会发生故障，不会捕获欠压和过压故障；这称为共因失效。PGOOD 的诊断覆盖率可能低于 90%，不符合 ASIL B ≥ 90% 的单点故障指标 (SPFM)。

图 3-4 和图 2-3 介绍了使用各种监控器且面向 ASIL B 的参考设计。

在图 3-4 中，TPS3703-Q1 是一款具有高精度欠压和过压监控器的窗口监控器。TPS3850-Q1 是一款具有集成式窗口看门狗的窗口监控器。两种器件都支持 V_IN 和 SENSE 引脚上高达 6.5V 的输入电压。如果稳压器过压故障导致超过 6.5V_OUT，则该过压会超出监控器的绝对最大电压输入范围，并会导致监控器失效或损坏。但是，此过压通常也会超过 MCU 的最大工作电压。MCU 发生严重故障甚至损坏。在数字驾驶舱或仪表组中，MCU 损坏会导致黑屏，这被视为安全状态。

如果担心过压高于 6.5V，则应考虑 TPS37A-Q1。该器件是一款宽 V_IN 监控器，支持 V_IN 和 SENSE 引脚上高达 65V 的电压，这样 V_IN 可以直接连接到电池。该监控器会监控电源输出，并在检测到欠压或过压事件时将 MCU 复位至安全状态。