随着汽车产业向电动化、智能化和网联化方向高速发展，线控底盘技术已成为下一代智能汽车的核心支柱。无论是高级驾驶辅助系统（ADAS）还是自动驾驶（AD），都要求底盘系统具有更高安全性、更快响应速度和更强可靠性。

在这一技术演进中，电源管理芯片（PMIC）作为电子系统的“心脏”，其重要性日益凸显。特别是满足ASIL D（汽车安全完整性等级最高级别）安全要求的PMIC，成为确保线控底盘功能安全的关键组件。

01：电源管理芯片PMIC与功能安全介绍

功能安全在概念阶段通过HARA（Hazard Analysis and Risk Assessment) 分析，得出功能安全ASIL等级和FSR功能安全要求。

如下为针对排气制动功能，若出现非预期发动机制动导致湿滑弯道车轮锁死，其严重性为S3、暴露概率E3、可控性C3，对应ASIL C等级。

针对后面四条FSR（FSR1.4/1.5/1.6/1.7)，控制器硬件需要相应的功能安全机制来实现上述FSR要求：

1. FSR1.4：电源管理监控要求，通过PMIC电源管理芯片来实现，如下图所示：

2. FSR1.5: 看门狗要求，从原理上需要一个外置的MCU，与主MCU进行双向的通信和问答，来监控主MCU的正常工作，如下图所示：

3. FSR1.6: 主MCU故障监控，当主MCU芯片出现故障时，需要有PIN脚发送故障信号给监控MCU，如下图所示：

4. FSR1.7：安全状态控制机制要求，如下图所示：

为了减少芯片数量，把以上四个FSR的功能安全要求实施通过一个PMIC电源管理芯片实现，如下图所示。相对于传统的电源管理芯片，目前主流的满足ASIL D等级的电源管理芯片，同时实现了：

1）电源管理（为MCU和传感器提供稳定供电、同时监控供电电压）

2）看门狗

3）主MCU故障监控

4）整个系统出现故障后，进入安全状态

用于线控底盘的电源管理芯片PMIC通常要求ASIL D等级，不同的ASIL等级在单点失效、潜在失效以及残余故障上，有不同的覆盖率要求，如下图所示：

02：电源管理芯片PMIC的功能安全机制

以恩智浦（NXP）的PMIC为例来看包括以下几个重要机制：

1. 自测机制（ABIST/LBIST）：

ABIST（模拟内置测试）默认在PMIC启动时、从低功耗模式（LPOFF）唤醒时自动触发，也可通过 SPI接口按需触发；LBIST（逻辑内置测试）检测监控单元的逻辑电路完整性，覆盖组合逻辑与时序逻辑故障。

2. 电压监控机制：

通过灵活的电压监控设计，适应不同场景需求。

3. Watchdog监控机制：

Watchdog是监控MCU运行状态的核心模块，对于ASIL-B或者ASIL-D不同等级，有着不同的选择。

4. SPI/I2C传输安全：

为防止配置数据篡改或传输错误，PMIC采用多重安全机制。

5. 安全写入流程（INIT 阶段）：

在 PMIC 初始化（INIT）阶段，为防止寄存器配置错误，需执行以下流程：

6. 故障容忍时间间隔（FTTI）适配：

FTTI 是系统从故障发生到进入安全状态的最长允许时间。

03：线控底盘常用ASIL D等级PMIC产品介绍

1. 恩智浦NXP FS26系列

恩智浦（NXP）构建了覆盖高、中、低压场景的汽车PMIC产品矩阵，适配从传统燃油车到高端智能电动车的需求。同时，恩智浦PMIC构建了跨厂商处理器适配生态，在ADAS、动力域、智能座舱等领域支持Ambarella、地平线、英飞凌等品牌处理器提供适配方案。

FS26系列汽车安全系统基础芯片(SBC)器件提供多种电源选择，可支持S32K3系列等入门和中端安全微控制器。FS26器件还支持其他针对汽车电气化的微控制器，如动力、底盘、功能安全和低端网关应用。

FS26具有多个开关式稳压器以及LDO稳压器，可为微控制器、传感器、外设IC和通信接口供电。FS26为系统提供高精度电压基准，并为两个独立的电压跟踪调节器提供基准电压。此外，各种功能可用于系统控制和诊断，如模拟多路复用器、GPIO和可选择的I/O唤醒事件、持续时间较长的定时器或SPI通信。

FS26符合ISO26262标准，涵盖ASIL B和ASIL D安全等级，可实现：

1）在系统运行时启用潜在故障监测：按需ABIST

2）独立监测电路

3）微控制器监测专用接口

4）Simple看门狗和Challenger看门狗功能

5）带潜在故障检测机制的安全输出(RSTB、FS0B、FS1B)

下图为NXP FS26框图：

2. 意法半导体ST L9396系列

L9396是一款面向各种汽车电子应用的电源管理芯片，最高支持ASIL-D。它同样包含多路电源轨输出、多种系统监控，内部还集成了轮速传感器接口和有故障保护的驱动，尤其适用于线控底盘应用场景。

1）L9396包含三路driver驱动，分别是failsafe driver、GPO driver和Pump motor driver。

2）WSS接口集成是L9396的一大亮点，WSS接口都由Prebuck供电，支持多种格式的轮速传感器，集成了多种诊断和保护功能。

3）具体的识别支持协议与WSO的输出模式对应如下图所示。

下图为一个L9396搭配SPC58N的系统示意图。

3. 英飞凌TLF35584系列

下图为英飞凌电源管理芯片的布局，其中TLF35584系列推荐应用在底盘领域。

TLF35584是英飞凌推出的针对车辆安全应用的电源管理芯片，符合ASIL D安全等级要求，具有高效多电源输出通道，宽电压输入范围,根据不同的型号有3.3V和5.0V两种命名。可以为MCU提供600mA的电源，可以提供200mA的电源给通信，还可以提供精确的参考电压给ADC使用，具有SPI通信，可以监控和配置该芯片。

TLF35584框图如下:

04：线控底盘常用ASIL D等级PMIC产品对比

针对上述的恩智浦NXP FS26、意法半导体ST的L9396，以及英飞凌TLF35584，通过AI工具进行了详细对比如下：

1. 恩智浦 FS26：面向未来的“域控制器级”解决方案

1）优势：FS26代表了PMIC的最新发展趋势，它不仅仅是一个电源芯片，更是一个“电源域控制器”。其极高的集成度和可配置性，允许系统设计师用一个芯片管理整个复杂域（如整个底盘域）的所有电源需求，包括主MCU、多个传感器、通信芯片、执行器驱动等。这极大地减少了外围器件数量、PCB面积和BOM成本。其内置的独立安全监控器（FSM）功能强大，可以分担主MCU的安全任务。

2）挑战：强大的功能带来了更高的设计复杂度和学习曲线。需要仔细规划和配置大量的电源轨和时序。

3）选择时机：当设计一个高度集成、功能复杂的新一代域控制器，且希望最大化集成度、最小化外围电路时，FS26是最佳选择。尤其适合与恩智浦S32系列高性能MCU配合。

2. 意法半导体 L9396：成熟稳健的“系统中坚”

1）优势：L9396是一款非常经典和成功的安全PMIC，在EPS、ESP等市场拥有大量应用实例。它在集成度、功能和易用性之间取得了良好的平衡。它提供了构建一个ASIL D等级ECU所需的所有核心电源管理和安全监控功能，且设计流程相对成熟稳定。

2）挑战：在处理极端复杂的多电源轨系统时，可能需要额外的PMIC或LDO来辅助。

3）选择时机：当设计一个成熟、中等复杂度的安全关键ECU（如独立的转向或制动控制器），需要一个可靠、有丰富参考设计、易于开发的全功能PMIC时，L9396是非常稳妥和主流的选择。与ST的SPC5系列MCU配合良好。

3. 英飞凌 TLF35584：安全至上的“独立守护者”

1）优势：TLF35584的设计哲学核心是 “独立性”和“监控” 。它特别强调为安全MCU（如英飞凌AURIX的锁步核或一个独立的小MCU）提供一套物理和电气上完全独立的电源、时钟和监控。这种架构在应对“共性原因故障”时提供了最高级别的安全保障。它常作为安全冗余电源，与一个为系统主要部分供电的普通PMU协同工作。

2）挑战：系统总成本可能更高（需要两个电源芯片），并且需要设计两套相对独立的供电网络。

3）选择时机：当系统安全概念极度强调独立性、分离性和冗余性时，例如在最高安全要求的制动或转向系统中。它是与英飞凌AURIX TC2xx/TC3xx系列MCU（尤其是带有独立安全岛的产品）搭配的“黄金组合”。如果系统安全架构要求必须有一个与主系统完全隔离的“安全岛”电源，TLF35584是首选。