辅助电源 rail 级输出保护深度 — OVP/OCP/UVP + hiccup/latch/foldback + SCP

rail 级输出保护是变换器护自己 + 护下游,三道各守一类失效:

• OCP(过流) — 输出电流越限(过载或短路)。检测靠电流采样(Rsense / 电感 DCR / 高边 RDS(on) sense)→ 比较器;检测点分 peak / valley / average:peak 受斜率补偿 + 前沿尖峰扰、valley 在续流相测更稳、average 慢但抗噪。护开关/电感不热失控、护下游不被拉爆。短路是 OCP 的极端,要 SCP 快速封顶(§3)
• OVP(过压) — 输出冲出安全窗(反馈环故障、FB 分压电阻开路、高边管短路、输出被倒灌)。护下游 IC 不超 abs-max Vdd(逻辑轨超压秒杀 die)。动作两路:crowbar(点 SCR 把轨短到地,属 latch 类、需断电复位)vs clamp(并联 TVS/钳位器件软封顶,可恢复)——可逆性差异正对应 §2 的 latch vs 自恢复主线
• UVP(欠压) — 输出跌破阈(被过载拖垮、输入 brownout)。常并进 power-good 撤销 + safe-state,或作 hiccup 的"没到调节=故障"判据

三者里 OCP 的"检到之后怎么办"最有讲究——这是 §2 的四策略。

检到过流不是终点,怎么恢复才是核心决策。四种策略在"短路功耗"和"恢复方式"上分两轴:

• foldback 折返限流 — 输出电压越跌,限流点越往下折返($I_{\text{lim}}$ 随 Vout 降而降),把短路功耗 $V_{\text{in}}\cdot I$ 压住。常见于 LDO。陷阱:撞非线性/恒功率/电机负载会"折返锁死"——输出卡在低压、电流被折返,永远爬不起来
• hiccup 打嗝 — 检到过流就关一段固定 off-time,再软启重试;故障还在就重复。短路平均功率极低(占空比 = 充电时间 / 重试周期),故障清了自恢复。常见于 buck。陷阱:撞大 bulk 电容,上电充电像持续过载 → 一直 hiccup 起不来
• latch 闩锁关断 — 检到故障锁死,停到掉电/显式复位。硬故障最稳(不反复灌应力),且故障不会静默自清。代价:要人/系统干预才恢复,伤可用性;适合安全相关轨(故障必须被看见 + 进 safe-state)
• brick-wall 恒流 — 把输出电流死钳在限值不动。最简单,但短路时持续高耗(LDO 上 $V_{\text{in}}\cdot I_{\text{lim}}$)→ 必须 OTP 过温兜底

选策略 = 四轴权衡:可用性(自恢复→hiccup)× 安全(硬故障锁死→latch)× 热应力(灌进故障的功率→foldback/hiccup 低、brick-wall 高)× 启动鲁棒(大电容→别用激进 hiccup,非线性负载→别用 foldback)。按 ASIL 落:安全相关轨 = latch + fault 上报,非关键轨 = hiccup 自恢复。

同样是"输出短路保护",三类变换器的实现和热瓶颈完全不同:

• 同步 Buck — 逐周期(cycle-by-cycle)限流:每个开关周期用高边 RDS(on) 或 sense-FET 测峰值/谷值电流,越限就当周期截断;连续 N 周期(典型个位数~十几个,因 IC 而异)越限或 UV → 转 hiccup。还要管低边续流的负电流/反灌保护。近开关节点的硬短路极快,需快比较器
• LDO — foldback 限流 + 热关断:无电感,pass 管直接耗 $(V_{\text{in}}-V_{\text{out}})\cdot I$,短路时 $V_{\text{in}}\cdot I_{\text{lim}}$ 全烧在 pass 管 → 必须 foldback 压电流 + OTP。pass 管是热瓶颈,SCP 本质是热保护
• SBC(系统基础芯片) — 集成多 rail 保护:每路 OC/OV/UV + 热,各自独立;故障经 SPI / fault pin 上报 MCU;内置可编程恢复(hiccup/latch);常带独立安全路径(窗口看门狗 / fail-safe 输出)。SBC 把整张 rail map 的保护 + 上报集中

rail 保护不是孤立模块,动作会撞上复位域、安全态、上电时序——不协调就互相打架:

• 与 POR/BOR:核心轨被 latch 关掉 → 喂的 MCU 掉电 → POR/BOR 复位,MCU 死等人复位才活。所以核心轨用 latch 要想清楚谁来复位;UVP 常直接喂 POR/PG 链
• 与 safe-state:哪个保护动作把系统送进 safe-state?安全相关轨 OCP 的动作可能是"latch off + 报 safe-state manager → 驱动 STO/切相"。关键:保护必须可观测(fault pin → MCU),不能静默——hiccup 自清就违反了"故障必须被看见"
• 与 sequencing:sequenced 上电的合法涌流(大输出电容充电)不能误触 OCP——软启动时长与 OCP blanking 要协同;反过来,下游轨的 UVP 不该因上游还没上来就乱 trip(时序顺序)。经典对账:OCP blanking 时间 vs 软启动时长

rail 保护翻车几乎都在"策略选错了负载类型"和"保护没和系统其余部分对账":

• hiccup 撞大 bulk 电容 — 上电充电像持续过载 → 一直 hiccup 起不来;软启动要够长 / OCP 要 inrush-aware
• foldback 撞非线性/电机负载 — 折返锁死,输出卡低压爬不起;这类负载别用 foldback
• 非关键轨用 latch — 瞬态故障也锁死 → 丢可用性,本该 hiccup 自恢复
• 安全相关轨用 hiccup 自清 — 故障静默清除、不上报 → 进不了 safe-state;本该 latch + 报 MCU
• OCP blanking 太短 — 误触 sequenced 涌流;太长 → 真短路多应力一会儿;按软启动时长对账
• LDO 短路无 foldback/OTP — pass 管 $V_{\text{in}}\cdot I_{\text{lim}}$ 烧穿;LDO 的 SCP 本质是热保护
• UVP/PG 阈不和下游 POR 对齐 — MCU 意外复位,或该复位时没复位