SBC 多 rail 上电时序 — 数学 + Latch-up 防护

EV PEU 多 rail 上电是严格 staged sequence — 必须 core(~1.25/1.5V)→ 3.3V → 5V → nRESET 顺序,各档之间 10-50 ms 间隔。下图把 5 波形画在一起,清楚看到时序约束:

Latch-up 是 CMOS 工艺永久性失效模式 — 一旦触发,即使断电也救不回,必须更换 MCU。下图把"正确 vs 错误"时序的物理后果一次说清:

EV PEU 内 MCU 不只是一个 Vcc — 现代 ASIL D MCU 把电源域细分到 5-6 路 rail,每路服务不同 die 区(core / IO / analog / Ethernet PHY 等)。下表汇总典型 rail + 用途 + 上电顺序:

ASIL D MCU 通常 5-6 rail。每 rail 加 PG 监视,任一未起 → SBC 停 + fault。

每个 rail 出口接 SBC 的 PG pin(Vfb 反馈到 SBC):

• $Vrail>Vthreshold$ (典型 90% of nominal) → PG=1
• 否则 PG=0 → SBC 不允许下一 rail 启动

典型 PG 阈值:

• core rail: PG ≈ 1.125V(Aurix 1.25V × 90%)/ 1.35V(S32K3 1.5V × 90%)
• 3.3V rail: PG = 2.97V
• 5V rail: PG = 4.5V

PG 信号在 SBC 内部 sequencer 用,不需要 MCU 介入 — MCU 还没起,根本不能监视。

链接:低压辅助电源 §4 SBC

NXP FS65 / Infineon TLF35584 / TI TPS65381 都集成有限状态机 自动 sequencing:

EV 主驱所有 SBC 都跑这套(细节 IC 之间略有差异)。

MCU 的 reset 引脚 (nRESET) 是所有 rail 稳后才释放的最后一关:

• 所有 PG=1
• 等待 10 ms stable 时间(防瞬态)
• SBC 释放 nRESET → MCU 启动

如果 nRESET 太早释放(rail 还在 rampup):

• MCU clock PLL 未锁
• Flash 未 ready
• 程序 fetch 错 → 启动失败 → reboot loop

SBC 内置 timeout 防 reboot loop:连续 3 次启动失败 → SBC 进 FAULT 永久态,需要重新上 12V。

EV 下电时反过来:

下电进入 SHUTDOWN 态的触发条件是 EN_SBC = 0 或 Vin < Vmin,之后按下表逆序逐级关断:

关键:core(~1.25/1.5V)最后关 — 防止 core 关后 IO 浮空(同 latch-up 反向风险)。

下表汇总 2026 EV PEU 主流 SBC + MCU 组合,每对 SBC + MCU 都验证过 sequencing 完整性,所以选型时按组合选,不要混搭:

混搭(主 MCU 配第三方 SBC)理论上能跑,但要 OEM 重新做 sequencing 验证 + JESD78 latch-up 测试 + I0-I3 评审,ASIL D 项目通常不接受。

汽车 MCU 必跑的latch-up 验证标准:

• 供电过压测试:供电脚 1.5× Vsupply(= +50% overvoltage)
• I-test(电流注入):IO / signal pin 注入正负 trigger current(限值 = Inom + 100 mA 与 1.5× Inom 取较大者,常用 ±100 mA)
• trigger current:从 pin 注入 0-100 mA 电流
• 测试温度:25℃ / 85℃ / 125℃

Pass 标准:任何条件下不进 latch-up,SCR trigger current > 100 mA。

EV MCU 必过 JESD78 + Class II (125℃ + 100 mA trigger)。

SBC sequencing 失败的典型坑集中在外加 rail / 阈值不准 / 下电时序。下表 5 个反复出现的: