引言
特斯拉事故原因的技术分析
➡本文(约3500字,15分钟阅读)
特斯拉汽车在2月17号,又发生了一起车辆疑似失控高速穿行最终撞上公交车导致一死一伤的交通事故。从国内近期特斯拉的新闻来看,车辆失控导致车内外人员伤亡的事件层出不穷。从而也导致了公众对特斯拉汽车的安全性引起怀疑。作为汽车功能安全行业从业者,一直以来也比较关注特斯拉的安全事故,结合自身专业及多方面信息谈谈特斯拉的交通事故可能的原因。该分析仅从个人对汽车动力系统技术的理解来谈,不涉及伦理人性方面。
结合网络上流传的视频,我们梳理一下2月17日的事故场景:
注:网络上该事故场景视频
在以上事故场景中,公众最关心的问题在于:车辆在发生事故的全程都未见明显减速,但是驾驶员(或者辅助驾驶系统)却在一段时间内积极的控制转向避免碰撞。是否说明特斯拉的刹车控制系统以及动力控制存在缺陷,并且自动驾驶功能未能成功避障,导致发生车速失控撞车?
基于作者对于电动汽车电子电气架构的理解,并结合自身在功能安全预期功能安全领域的经验,仅从浅显的技术维度分析可能导致特斯拉事故的几个方向,供大家探讨。为方便理解,在分析各系统失效的之前,我简化了一下电动汽车动力控制系统和刹车控制系统在电动车上的电气架构分配,如下图:
关于电动车动力控制系统和刹车控制系统架构简化图
1
首先分析关于辅助驾驶系统(ADAS域控)中自动避障功能在事故过程中是否正常
基于特斯拉官网信息,特斯拉的辅助驾驶系统中有标配的自动紧急刹车(AEB)功能,而该功能没有让车辆加速的逻辑或者说提供增扭接口。在事故过程中,特斯拉的AEB未见触发(在碰撞前未看见刹车灯亮)。不过这不代表该功能失效,从功能安全设计角度,通常AEB功能会设定激活刹车操作的最低和最高车速阈值,例如,如果车速超过60km/h将不对前方行人刹车,车速超过120Km/h将不对前方车辆刹车。从视频上看,车速似乎超过了AEB激活刹车的阈值。
当然,根据Autopilot功能介绍,其AP还有一个具备辅助加速功能的自适应巡航(ACC)功能。该功能会在激活后,自车可以自动跟随车道内的前车,如果车道内车辆丢失,则会以设定速度继续行驶,直到重新跟随车辆或者驾驶员踩刹车或者转动方向盘则退出。理论上说,由于ACC功能具备定速控制功能(必要时加速),如果该功能设计层面存在缺陷,是有可能导致车辆非预期的持续加速或者无法降速的问题。这些问题其实在设计之初,就应该由汽车功能安全法规ISO 26262涵盖,不过特斯拉自研的FSD是否符合了该标准,业内目前不得而知。
2
再说一下该事故中油门控
(ADAS+VCU+MCU)是否可能失效
结合视频来看,最诡异的莫过于该车一直以极高的速度在行驶,全程无减速行为。出现这种情况我们通常会考虑,是否由于油门控制系统失效,例如油门踏板信号处理失效或者电机控制器失效,或者自动驾驶辅助功能例如ACC功能失效,导致MCU持续的以不受控的加速扭矩输出?又或者驾驶员把油门当成了刹车,全程满行程踩踏油门?
先说第一个,根据动力控制器设计的安全需求,油门控制器失效或者电机控制器失效导致加速扭矩失控是可能的。通常,加速系统由电子控制器:整车控制器(VCU)+电机控制器(MCU)进行控制,虽然以上两个系统要求满足功能安全ASIL C的要求。意味着在控制器中会设计很多冗余校验和监控措施,来防止踏板信号出错或者电机控制器本身失效而导致非预期的加速。不过,特斯拉自研的动力控制系统当前并不能确认是否就满足了对应的安全要求。因此,也不能排除一些极端情况下,以上控制器发生系统性失效从而导致加速扭矩持续性的输出。另外,对于辅助驾驶系统,是否出现了特定的功能失效导致给VCU持续的发送加速指令,这个也不能排除。
因此,无法断定在该事故中,油门控制逻辑或者相关控制器是否发生系统性失效导致持续的加速输出。但是这种情况是有可能的。
3
再聊一下关键问题,刹车系统(iBooster+ESP)是否可能完全失效
从汽车行业标准功能安全的角度来说,汽车上对于刹车系统的设计是十分谨慎的,其安全等级为最高安全等级(ASIL D),基于网上资料,特斯拉汽车刹车控制器由博世集团提供,其功能安全设计理论上有保证。从第二点分析,VCU和MCU或者辅助驾驶系统三者出现了极端情况导致加速扭矩持续输出是有可能的。但是如果刹车控制系统不失效,是一定程度能够控制住车速或者仲裁掉其他系统的加速请求的。
基于刹车系统的安全设计要求,制动系统通常功能配备了独立的机械液压制动和基于刹车踏板传感器信号的电子制动系统。对于电子刹车控制系统,除了驾驶员踩刹车踏板给电子制动系统刹车信号外,辅助驾驶系统也会与其有接口例如(ACC, AEB等),这些功能可能给刹车系统发出减速指令,再由刹车控制系统统一仲裁并调配刹车扭矩,继而激活刹车。而如果刹车系统检测到对应控制系统发出的制动指令异常,或者刹车踏板传感器信号异常时,则会拒绝执行刹车行为。所以电子刹车助力是有可能会因为传感器失效或者辅助驾驶功能失效而丢失刹车的。
不过,机械液压刹车的设计是独立于电子刹车的,理论上只要驾驶员发现电子刹车失灵,而使劲踩下了刹车,至少会有一定程度的刹车力,即使车辆速度失控(加速扭矩太高)也会发现刹车冒烟或者车速窜动现象。从事故视频中,可能由于清晰度原因我并未看到全程刹车有冒烟或者出现车辆减速的现象。
4
结合动力系统和刹车系统的故障综合分析
单独的分析每个ECU的失效对于该事故的发生其实都是不充分的,那么基于视频中事故场景的综合判断。如果不考虑事故过程中驾驶员操作不当,而是假定特斯拉的车控系统故障,那么它是一个综合性的故障。例如:
情况1,动力系统电机驱动控制器失效,最大扭矩输出;同时电子刹车控制器(包括Ibooster及ESP)失效,导致无法仲裁刹车请求,也无刹车扭矩输出;同时机械制动机构失效,导致无法采取机械制动。
情况2,ACC功能失效,一直以固定的速度请求加速扭矩,且无法退出;同时电子刹车控制器失效,导致无法仲裁刹车请求,也无刹车扭矩输出,ESP系统也无法响应;同时机械制动机构失效,导致无法采取机械制动。
以及,以上各种失效组合情况...
结合场景分析来看,除了可能的刹车系统完全失灵,还包括动力系统和辅助驾驶系统同时失效。虽然从概率角度来说,这个概率应当是极小的,但是从功能安全系统设计角度,需要系统性分析这些是否系统之间存在共因失效。
5
最后谈谈关于电动汽车单踏板模式设计
特斯拉的单踏板+动能回收模式在这些事故中也备受质疑,例如,很多人指责即使是因为驾驶员误踩油门踏板造成的车辆持续加速,这也是特斯拉的设计问题。
具体该设计的缺点和对防御性驾驶习惯的影响,网上有很多博文参考,我觉得是有一定道理的,在此我不打算细聊。但是,从预期功能安全角度出发,这个单踏板+动能回收的设计是有待商榷的。在当前预期功能安全标准出来后,其实对于车上的电子电气系统,仅仅满足功能安全设计是不充分的。设计者必须要考虑各系统的使用局限,算法局限甚至驾驶员的误操作。并通过大量的测试数据来验证并改进相关设计。我个人认为,当前的单踏板+动能回收功能其实是极容易引起驾驶员的误操作,导致以上类似事故发生。值得汽车制造商们思考。
总结,针对特斯拉的这一系列事故,网上众说纷纭,虽然最终事故原因不得而知,我们只能推测。但是我认为基于个人分析,相关的原因可以从如下几个方面去思考:
Part.
1
特斯拉自研的辅助驾驶系统FSD和动力控制系统VCU+MCU是否满足了行业功能安全最高设计要求?是否有相关机构的认证。在极端情况下,由于以上电子电气系统的系统性失效,是可能导致车辆持续的发出加速扭矩,无法退出加速。
Part.
2
对于刹车控制系统,通常存在独立的机械液压刹车和电子控制刹车系统的双重设计,从事故视频上看,也未见有明显的触发机械刹车现象。虽然理论上双重刹车系统同时失效的概率极低,不过也不能排除。这需要基于权威机构的检测报告说明。
Part.
3
结合场景分析来看,如果不考虑事故过程中驾驶员操作不当,该事故的失效是一个综合性失效,除了可能的刹车系统完全失灵,还包括动力系统和辅助驾驶系统同时失效。虽然从概率角度来说,这个概率极小,但是从功能安全系统设计角度,需要系统性分析这些是否系统之间存在共因失效。这个方向是否有过研究?
Part.
4
最后,通过视频分析,并不能排除人为踩错踏板导致事故的发生。如果是人为踩错踏板导致,对于特斯拉单踏板+动能回收的设计者应该考虑预期功能安全设计的要求以及具备对应的测试数据,否则确实可能是引起大量驾驶员误操作的原因。
END
以上的分析和推测纯属个人经验判断,目的是帮助关注该话题的朋友理解其系统失效的可能机理,不作为任何的证据或者结论参考。基于自身认知局限性,或许有失偏颇,望大家海涵。
Frimitoya / 作者
闻继伟 | 校阅
