AUX-A1 — ECU 供电链全景:为什么 MCU 不能直接吃 Vbat,以及那条供电链每一级在补什么差

本质与导读

专家养成 · 模块三(低压辅助电源)· A 阶第 1 讲,也是 AUX 轨的第一块地基。在碰任何具体拓扑(反激 / LLC / buck)或具体器件(SBC / LDO)之前,先把一件事想透:一颗 MCU 需要的电,和车上那个叫 Vbat 的节点能给的电,差了多远;那条从 Vbat 到 MCU 内核的供电链,每一级到底在弥补哪一道差。 把这条链的骨架立住,后面每一篇 AUX deep 你都能立刻知道它在链上的哪一级、在补什么。

开篇:硬约束——车上最脏的电源节点,要喂车上最娇贵的负载

辅助电源这套东西的存在,本质上只为消解一个落差:Vbat 是整车最恶劣的模拟节点,MCU 是整车最脆弱的负载,二者隔着大约两个数量级的"电压宽度"和"洁净度"。

先看 Vbat 这一头有多脏。标称 12V 的铅酸电池节点,真实工作范围远不是 12-14V:启动马达瞬间(cranking)母线被拉到 $6 V$ 甚至 $3 V$ ;甩负载(load dump)时发电机带载突卸,母线可冲到 $87 V$ 持续数百毫秒;接反电瓶则是 $- 16 V$ 。叠加上去的还有点火 / 继电器开关的 $\pm 100 V$ 级窄脉冲、几伏的纹波、宽频 EMI。换句话说,Vbat 是一个瞬态范围横跨 $- 16 V$ 到 $+ 87 V$ 、约 $100 V$ 宽的敌对节点。

再看 MCU 这一头有多娇。一颗车规 MCU 内核要的是 $0.8 - 1.2 V$ 、容差 $\pm 3% \sim \pm 5%$ 、纹波几十毫伏、上电还得按内核先于 IO、IO 先于模拟的严格时序爬升的电——多路 rail,任一路过压几百毫伏就击穿栅氧、时序错了就 latch-up。

这两头之间的落差,就是辅助电源全部工作量的来源:要把一个 $100 V$ 宽、充满破坏性瞬态的脏节点,压成几路毫伏级洁净、按序爬升的低压轨,中间还不能有一刻让下游 MCU 掉电或见到尖峰。 这条"受控下降"的链路,就是 ECU 供电链。下面从第一性原理推:为什么不能一步到位、这条链必然分成哪几级、以及这些级为什么只能按这个顺序排。

中段一:第一性原理——为什么不能让 MCU 直接吃 Vbat

"直接接"会同时撞上三道彼此独立、各自致命的物理墙,任何一道都足以让芯片当场死亡或失效。

第一道:过压击穿。 硅栅氧的耐压是物理定死的,车规 MCU 的供电脚绝对最大额定通常在 $4 V$ 上下。Vbat 正常 14V 已是它的三倍多,load dump 的 87V 更是直接气化。过压不是"工作不正常",是结构性破坏——这一条就排除了任何"靠软件小心点"的可能。

第二道:极性 / 反向。 接反电瓶时 $- 16 V$ 会让芯片内部寄生体二极管正偏、灌入失控大电流烧毁结。硅器件对反压几乎零容忍,而装配 / 维修接反是现实世界必然发生的事件,所以保护必须是硬件无条件的。

第三道:洁净度与时序。 就算电压幅值奇迹般落在范围内,Vbat 上的纹波和 EMI 也会直接污染 ADC 基准、让内核逻辑误判;而 MCU 多 rail 的上电时序一旦错乱(IO 先于内核到位),CMOS 寄生可控硅导通形成 latch-up,一条低阻通路把芯片烧穿。Vbat 节点既不提供洁净度、也不提供任何时序编排。

三道墙指向同一个结论:Vbat 与 MCU 之间不可能用"一根线"或"一个稳压器"跨过去。 退一步,哪怕只为解决幅值,单级稳压也做不到——要在 $- 16 V \sim 87 V$ 的输入范围内,稳出 $\pm 3%$ 容差、几十毫伏纹波、还自带反极性和过压防护的单一变换器,在物理上不存在:保护、缓冲、稳压、时序是四类机理完全不同的功能,必须分级实现,而且必须按特定顺序级联。 这就是供电链分级的根因——不是工程偏好,是这四类功能无法在一级里共存。

中段二:把链拆开——每一级闭合一道落差

既然四类功能无法合并,供电链就必然是一条漏斗式级联:每一级关掉一道落差,把节点交给下一级时都比上一级更窄、更稳、更净。从 Vbat 到 MCU 内核,五级各司其职。

第一级 · 输入保护(survive)。 任务是让后面的电路"敢碰"这个节点:反极性保护(Schottky 或 P/N-MOS smart switch)挡 $- 16 V$ ,TVS / 有源钳位把 load dump 的 87V 截到下游器件耐压内,再加保险丝、共模 / 差模 EMI 滤波。它不稳压、不降压,只负责把致命瞬态削成"非致命",把一个敌对节点变成一个"虽然还宽、但不再杀人"的节点。

第二级 · 储能缓冲(bridge)。 Bulk 电容在母线上存一桶能量,专门填 cranking 那种"母线瞬间塌到 6V"的坑——让下游变换器的输入在塌陷期间由电容续命,用储能把输入侧的时间扰动隔在门外,使下游永远看不到那次跌落。它要存多少能量是可算的:要在母线从 $V_{1}$ 跌到下游变换器最低可工作输入 $V_{2}$ 的这段 dropout 里维持输出,电容需储够

E = \frac{1}{2} C (V_{1}^{2} - V_{2}^{2}) \geq P_{o u t} \cdot t_{h o l d}

即 $C \geq \frac{2 P _{o u t} t _{h o l d}}{V _{1}^{2} - V _{2}^{2}}$ 。这条关系把"扛多久 cranking"直接翻译成一个电容值——是 AUX-A3 储能选型的核心,这里先点出缓冲级的物理身份。

第三级 · 预稳压(range→intermediate)。 一级开关变换器(常是同步 buck)把仍然很宽的母线(survive 后约 $6 - 40 V$ )压成一个稳定中间轨(典型 $5 V$ 或 $3.3 V$ )。它解决的是宽输入范围 + 效率:开关式才能在宽 Vin 下高效降压,把绝大部分电压落差和功率损耗在这一级用电感"无损"处理掉,而不是丢给后面的线性级发热。

第四级 · SBC(regulate + monitor + communicate,链的安全心脏)。 System Basis Chip 把多路稳压器、看门狗、复位 / 电压监控、CAN/LIN 收发器集成在一颗安全等级器件里。它是供电链里唯一同时承担"供电"和"安全监控"双重身份的一级:既给 MCU 出主 rail,又反过来盯着 MCU 活没活(window watchdog / Q&A)、盯着各 rail 是否欠压过压。供电链之所以能进入 ASIL 论证,靠的就是这一级把电源和监控做成了带诊断覆盖率的安全器件。

第五级 · POL / LDO 末端轨(final rails)。 在 MCU 旁就近放点对点变换器(POL buck 或低噪声 LDO),出内核 $0.8 - 1.2 V$ 、IO $1.8/3.3 V$ 、模拟 $3.3 V$ 等末端轨,并编排它们的上电 / 下电时序。这一级解决洁净度的最后一公里 + 时序:LDO 用来给 ADC 基准这种对噪声敏感的负载做"最后一道净化",POL 就近放是为了压低 di/dt 引起的轨压跌落。

一句话串起来:保护让节点不再杀人 → 缓冲让节点不再掉电 → 预稳压把宽变窄 → SBC 把窄变准并加上监控 → POL 把准变净并排好序。 每一级都只补一道、且把更干净的节点递给下一级。

ECU 供电链五级漏斗 — Vbat(−16~87V敌对)→①保护survive→②缓冲bridge→③预稳压宽变窄→④SBC稳压+监控→⑤POL/LDO净+时序→MCU(0.8-1.2V);监控旁路横跨,次序物理强制不可重排,供电链占 ASIL D ECU FIT 50-60%

中段三:为什么是这个顺序——级联次序由物理强制,不可重排

这五级不是随意堆叠,次序是被物理钉死的,搞反任何一处链路即失效。

保护必须最先。 你不能先稳压再保护——稳压器自己就是硅,它得先活过 87V / $- 16 V$ 才谈得上稳压。保护级是唯一被设计成能直面原始 Vbat 的一级,所以它必须站在最前面,把所有后续硅器件挡在身后。这是"谁来当肉盾"的问题:只能是专门为承受瞬态而生的保护器件,不能是稳压器。

缓冲必须在稳压之前(输入侧)。 Bulk 储能填的是输入跌落,要让下游变换器看不到 cranking,电容就必须挂在变换器的输入端而非输出端——挂输出端只能填本级负载阶跃,填不了输入塌陷。能量缓冲的位置由"它要把扰动隔在哪一侧"决定。

预稳压必须在 POL 之前(宽在前、窄在后)。 漏斗只能从宽到窄:让一级宽 Vin 变换器吃掉大部分电压落差,后面的 POL / LDO 才工作在窄而稳的输入上、效率和噪声才可控。反过来让 LDO 直接吃宽母线,巨大压差全变成热,瞬间烧穿。

监控必须横跨、且相对独立。 SBC 的看门狗 / 电压监控若和它监控的对象共用同一个失效根因(同一颗 die、同一路供电),就监控不了自己——所以安全监控既要嵌在供电链里,又要在失效上尽量独立于被监控的 MCU。这条"监控独立性"会在 AUX-D1 的 FMEDA 里展开,这里先记住:供电链的安全价值,一半在供电、一半在那条独立的监控旁路。

把次序连起来就是一条单调的"受控下降":电压逐级变窄、洁净度逐级变高、而一条监控旁路横跨其上。任何重排都会让某一级暴露在它扛不住的输入下——这就是为什么全车 ECU 的供电拓扑长得高度一致。

中段四:EV 的两层电池,与供电链为何是 ASIL D ECU 的 FIT 大头

上面默认了一个 12V 铅酸电瓶。EV 把这件事变成两层:没有发电机,那个 12V 低压网本身要靠一颗 HV→12V 的隔离 DC-DC(反激 / 有源钳位反激 / LLC)从 $400 - 800 V$ 高压母线取电再降压隔离过来。于是"Vbat"对很多 EV ECU 而言不是一次电池,而是这颗 DCDC 的输出——本讲的五级链照样适用,只是最前面多接了一段"高压取电 + 隔离"的源头(那是 AUX-B 轨反激 / LLC 的主题)。

这也解释了一个对功能安全工程师反直觉、但 AUX-D1 会量化坐实的事实:辅助电源链常占一颗 ASIL D ECU 总 FIT 的 50-60%。 直觉上电源"只是供电",但从失效角度看,它是一条长长的串联链,任一级失效都直接夺走 MCU 的电——它的失效率天然累加、且后果直达顶层危害(MCU 掉电 = 主功能丧失)。这正是为什么 SBC 要做成安全器件、为什么这条看似"配角"的链要用整套 FMEDA + DFA 去论证。供电链不是 ECU 的附属,它是 ECU 能不能进安全论证的地基之一。

落到工程结论:一张五级地图,读任何 AUX deep 都先定位

把这一讲压成一张可随身带走的心智地图——拿到任何辅助电源资料,先问它在这五级的哪一级、补哪一道落差:

输入保护:补"致命瞬态"——反极性 / load dump / EMI。关键词:TVS、smart diode、共模扼流圈。
储能缓冲:补"输入掉电"——cranking dropout。关键词:bulk cap、holdup、inrush。
预稳压:补"输入太宽"——宽 Vin 高效降压到中间轨。关键词:同步 buck、宽 Vin。
SBC:补"不够准 + 没监控"——多 rail 稳压 + watchdog + 复位 + 通信。关键词:安全 SBC、Q&A 看门狗。
POL / LDO:补"不够净 + 没时序"——末端轨 + 上电序列。关键词:POL、LDO、sequencing、latch-up。

三条带走的准则:

落差驱动分级:每一级的存在都对应 Vbat 与 MCU 之间的一道具体落差;没有一级是"多余的中间商",删掉哪级就有哪道落差直击 MCU。
次序由物理强制:保护在前、缓冲在输入侧、宽稳压在窄之前、监控横跨且独立——这条次序不可重排。
供电链即安全地基:它是串联失效链、FIT 大头,且自带独立监控旁路;把它当配角,功能安全论证就缺一块地基。

承上启下:今天立住了 ECU 供电链…

承上启下:今天立住了 ECU 供电链的骨架——Vbat 与 MCU 之间约 $100 V$ 宽、跨两个数量级洁净度的落差,被一条"保护→缓冲→预稳压→SBC→POL"的漏斗式级联逐级补平,次序由物理钉死,且整条链是 ASIL D ECU 的 FIT 大头。但开篇一带而过的那三道致命瞬态——cranking 跌到 6V、load dump 涌到 87V、反极性 $- 16 V$ ——每一道的物理、波形与防护手段都还是黑盒。下一讲 AUX-A2 拆这三道"输入瞬态三考题":各自的物理来源、ISO 7637-2 / ISO 16750 怎么定义它们、以及第一级保护各用什么招数接住——正是今天"输入保护级"那一格的展开。

AUX-A1 — ECU 供电链全景:为什么 MCU 不能直接吃 Vbat,以及那条供电链每一级在补什么差

本质与导读

1. 开篇:硬约束——车上最脏的电源节点,要喂车上最娇贵的负载

2. 中段一:第一性原理——为什么不能让 MCU 直接吃 Vbat

3. 中段二:把链拆开——每一级闭合一道落差

4. 中段三:为什么是这个顺序——级联次序由物理强制,不可重排

5. 中段四:EV 的两层电池,与供电链为何是 ASIL D ECU 的 FIT 大头

6. 落到工程结论:一张五级地图,读任何 AUX deep 都先定位