杨福宇老师多年研究CAN总线在汽车中的应用,文章非常有实用价值,为了方便汽车行业的工程师关注杨老师的研究成果,本公众号特别开设了《杨福宇专栏》,敬请期待更多精彩内容。杨老师邮箱:yfy812@163.com,欢迎交流探讨!
在很多TESLA刹车失灵投诉中,用户反映刹车硬,踩不下去。特斯拉从未正面回应这一指控,既不说没有这种现象,也不说在什么场景下有这种现象。但这是分清责任的关键点之一:如果因为车的故障使刹车变硬而踩不下去,刹车踏板就只能踩到这么多,即使有踏板开度的后台记录也不能说明此开度这是驾驶员实际期望的刹车力度。
刹车失灵争议时,大家关心刹车踏板的开度记录,在EDR中刹车踏板的开度尚未是强制项,但是在TESLA的后台LOG中是有的,只有在IBOOSTER CAN接口有故障时,刹车踏板开度的信号送不出来时才可能缺失。在本文中IBOOSTER CAN接口故障是讨论的核心。TESLA的后台LOG中有刹车踏板的开度的报道见下:
-----------------------------------------------------------------------------------------------------------------
https://www.toutiao.com/w/a1694601620582415/
#modely新车自动加速和刹车失灵#完整版
----------------------------------------------------------------------------------------
IBOOSTER与ESP hev的关系:
TESLA的刹车系统功能是用BOSCH的IBOOSTER和ESP hev实现的。-----------------------------------------------------------------------------------------------------------
“BOSCH ESP控制系统讲解”
ABS功能需要信号的是刹车主缸压力,其余均由ESP内的传感器产生。
原来的CAN通信未包括IBOOSTER。
----------------------------------------------------------------------------------------
ESP是早于IBOOSTER开发的产品,从上面4张文页可以看到ESP节点是可以独立执行ABS和ESC功能的。在带有能量回收算法的IBOOSTER+ESP hev中应该继续有这种独立执行的能力。因此这是一个重要的背景。
按照IBOOSTER的设计,它考虑了2种功能安全的失效模式:
“iBooster – Vacuum-independent electromechanical brake booster“
1.IBOOSTER处的电源故障时或机械故障时可转由ESP hev(混动车用的ESP)操控刹车;
2.IBOOSTER和ESP hev均无电源时由驾驶员踩踏板刹车。
IBOOSTER的第1种失效模式时,ESP hev认为IBOOSTER有故障时,仍然要最大限度保留根据当时轮速信号和故障前的刹车踏板开度执行ABS防抱死功能,以及根据转向角、角加速度、轮速车速等的车身稳定功能ESC。
刹车变硬现像从BOSCH的IBOOSTER+ESP HEV油路中看是存在的:
---------------------------------------------------------------------
从特斯拉刹车的ibooster+ESP HEV动能回收系统图分析刹车失灵 (toutiao.com)
---------------------------------------------------------------------
当图中isolation valve(隔离阀)由ESP节点关闭时,双联动主泵的右泵出油路被封死,油无空间可流动,又不可压缩,驾驶员用再大的力也是无法踩动踏板以推动双联动主泵的;油路被封死时IBOOSTER侧压力会升得很高(ESP侧不变),直至IBOOSTER的电机也推不动,只会马达发烫最后退出。双联动主泵的左泵出油路压力保持切换前压力,不受IBOOSTER电机的进一步加压。
第2种失效模式时油路仍按该图连通,所以驾驶员踩踏板在双联动主泵产生的压力可以达到刹车钳,虽然费力些,还是可踩动,保证了功能安全。
BOSCH在IBOOSTER的第1种失效模式时失效场景只限于电机故障和机械故障可能使电源超载,从而停用,转而由ESP hev控制刹车,ESP hev可以根据由IBOOSTER CAN来的刹车开度要求自己建立刹车主缸压力,以及进行能量回收的算法,所以理论上是功能安全的。但是在切换为ESP控制时,ESP hev为了要建立自己的刹车主缸压力,IBOOSTER-ESP hev之间油路仍然应是隔离的,仍有踏不下去的可能。
本文认为,第1种失效模式时未考虑IBOOSTER CAN通信失效时ESP的反应。
该文章并没有解释故障时IBOOSTER与ESP hev是如何交接的。这里有2种可能的方案:1是IBOOSTER通过CAN发送自己要退出的帧,告诉ESP接受;2是ESP发现IBOOSTER有故障。方案1时完全依赖CAN的可靠性,如果ESP收不到这个CAN帧,IBOOSTER已退出了不做刹车,ESP以为IBOOSTER在管刹车就也不做刹车,整个刹车系统就失效了。方案2则由ESP收不到IBOOSTER的CAN帧作为IBOOSTER失效的判断之一,如果IBOOSTER的CAN帧可以收到,同时也按IBOOSTER所发的状态帧判断是否要接手,这样就比较完整了。我认为第2种可能性大一点。
因IBOOSTER电机卡死-退出引起的的死锁
产生IBOOSTER信号到达不了ESP hev的故障原因有2个:1CAN物理媒体的断路;2CAN较长的传送出错。第1种情况下通信断后IBOOSTER就一直处于刹车踏板踩不下的状态;在第2种情况下,通信有可能恢复,那么能否立即退出刹车踏板踩不下的状态?以下作个分析:
在CAN连续出错后ESP认为IBOOSTER有故障而接受刹车的功能,此时封闭了油路,使刹车踏板踩不下去。IBOOSTER的电机处于卡死状态,其电流大大上升,满足了IBOOSTER的第一种功能安全设计的触发条件,IBOOSTER将发出故障条件满足、要求ESP hev接收刹车功能的帧,这个信息在恢复后的CAN通信到达ESP hev。代替通信出错而ESP hev接受的条件,使油路仍然处于封闭。这就是一种死锁状态。
这种死锁在2017年东风本田召回国产CR-V(IBOOSTER II系统的最早期量产装车型号) 的公告中也有简要提及:启动后备模式造成制动踏力增大。本田没有提及产生了什么误判,但随即启动了制动后备模式。这与这里讲的CAN有故障后启动了制动后备模式,引起死锁本质是一样的。也就是讲,这不是一个新问题。
-----------------------------------------------------------------------------------------
特斯拉刹车事件结合车主手册最详尽分析,有发生问题得可能么?有,但只有一点点 - 哔哩哔哩 (bilibili.com)
召回公告原话是“由于供应商设计原因,电子制动助力器控制软件存在问题,在车辆行驶过程中可能产生误判,从而启动制动后备模式,导致制动故障灯点亮及制动踏力增大,存在安全隐患。
-----------------------------------------------------------------------------------------
在死锁开始后,只要驾驶员踩着刹车踏板,电机就卡住,当驾驶员踩得轻点,电机的输出电流小一点,有可能退出IBOOSTER的第一种功能安全设计的触发条件。即退出死锁。这里有用户刹车踏板踩不下去然后又可踩下的例子证明:
-----------------------------------------------------------------------------------------
特斯拉自动加速和刹车系统失灵是真的!!绝对真实性命担保!_易车 (yiche.com)
车速30左右!没有开启自动驾驶。我也没有踩刹车和加速踏板,只是把脚放在加速踏板上。我的model3突然踩了一脚老刹车。让车上大家都不舒服那种急刹!车速降为10码左右。我下意识以为特斯拉自动防碰撞减速,我观察了我周围车都离我很远,前面入口更是没有车辆!因为车辆自动刹车我轻踩了电门,就是那种平时跑20码左右那种深度!车辆突然急加速,我立马松开电门踩刹车,刹车居然踩不下去!就像abs起作用那种感觉!踩不下去!我没有一直踩,而是松了连踩了大概第四次踩下去了!
刚刚突然自动加速刹车失灵,你们遇到过吗?(Model 3论坛_太平洋汽车网论坛 (pcauto.com.cn))
刚刚在停车场,model3突然自动加速,我下意识踩刹车没有反应,我担心是自己把油门当刹车,还用脚左右试探了一下确认我是踩在刹车上的,然后继续踩也没有反应,我就开始点踩刹车,大概踩了四次左右就停下来了,
-----------------------------------------------------------------------------------------
但是取决于IBOOSTER电流保护的具体设计(尚未查到),如果是电流大造成热保护,那么散热需要时间,驾驶员不踩踏板也不是就能立即退出死锁的。所以这个例子中究竟是热保护退出还是电流到0次数影响退出是不清楚的。也不能作为驾驶员踩不下去时的一种参考建议。而且,大部分驾驶员紧急时踏不下刹车踏板第一时间想到的会是踩得更重--即更难退出死锁。所以真正要解决问题还是要从油路原理上下功夫。
CAN通信出错引起ESP hev 接受的概率取决于网络对抗干扰的能力,TESLA在CAN网络这方面是比较弱的:PRIVATE CAN的双绞线有很多不等长的设计,是比较易受干扰的部分,同样干扰条件下,它的误码率会高一些。用于IBOOSTER通信的帧周期是10ms,如果二次帧周期收不到,在车速100km/h=27.7m/s=0.27m/10ms时,相当于刹车距离另外再增加0.5m,显然已是容许的极限了。如果每次发送容许出错重发1次(出错重发次数太多会增加总线负载,使设计的调度结果分析失效),那么就相当于4次帧传送错就会引起ESP hev判IBOOSTER出错(误码率大时这是相当大概率的事),接受刹车控制,封死油路,加上死锁机制,引起刹车踏不下去的失灵故障。
为了转到ESP控制,isolation valve和switch valve必须关闭,以防ESP产生的油压在IBOOSTER中被泄压,从而使ESP hev的接替失败。泄压原因例如IBOOSTER的双联动主泵油路中有泄漏。
---------------------------------------------------------------------
(特斯拉model3自动加速方向盘自动转向刹不住车!!2.24亲身经历 - 知乎的报道中有位评论者提到了套轴密封问题:
蘑菇c03-31
我的车于去年12月左右也出现过两次自动加速情况,但是刹车是可以踩的。目前已知的是在esp介入的某种情况下,刹车会误认为人工踩刹车会使轮胎抱死,而无法踩下刹车。另外建议检查一下套轴密封问题,我的这一批是需要紧急召回密封的。注:30以下也可以开ap或巡航,我在学校经常开20。。。两台,一台首批进口长续,一台首批国产。出问题的是国产那台)
---------------------------------------------------------------------
用断线来验证踏不下去的方法:
验证不必在事故车上进行,用任意一台MODEL3便可以。
1.根据MODEL3线路图,连接IBOOSTER的CAN 是双绞线CPT01-M,它连到IBOOSTER插座X150的引脚18(CAN+)和10(CAN-)上。切断CPT01-M,串联一个双刀双掷开关,或继电器,以模拟断线故障。
2.将车驱动轮搁在自由滚道上(类似车辆年检测尾汽排放的滚道);
3.小开度踩加速踏板使稳定车速约5-10km/h;或其它感兴趣的车速;
4.用所加开关切断CAN通信;
5.大约在3秒内不会见到报警提示;
6.切断CAN通信之后0.2-10秒内踩刹车可发现踩不下去。
TESLA的CAN物理断线故障是有实例的:
--------------------------------------------------------------
特斯拉新车频现警报后续:汽车智能化冷思考_汽车_中国网 (china.com.cn)
卢姓先生今年购买的特斯拉新车Model X,2020-1-14提车,在使用不到两个月的时间内遭遇三次故障提示,两次返厂检修,最近一次送检时车辆甚至都无法挂挡了。
2月19日第一次故障。卢先生按客服所说,重启系统,再次开车上路。据他回忆,车开了一段时间之后,故障的确是一个接一个地慢慢消失了。
2月26日第2次故障显示后,重启后无效果而进维修点作第一次检修。根据特斯拉提供的第一份文件,车辆进场未发现报警,查看后台数据网关也引起了相关警报,已经重置网关,进行固件更新,多次路试正常,建议客户使用观察。所谓固件更新做了什么没有公布。
3月10日第3次故障是开不了车,出现了类似“ABS已禁用”的提示。
第二次回维修点,不过到了检修中心,车辆又神奇地恢复了正常。特斯拉出具的第二份文件显示,“该现象为偶发性故障,车辆进入车间后可正常启动行驶,并且仪表没有任何故障提示。”
在进行故障分析和相关系统检查的过程中,特斯拉检修人员发现EPAS线束插头针脚松脱,在完全断开该插头后,车辆故障现象是EPAS MIA方向无助力,但仍可正常启动并进入挡位。
---------------------------------------------------------------------
此外,IBOOSTER有电源故障时或机械故障时,转由ESP控制实现ABS功能时仍然需要刹车开度信号,以重建主缸压力,这个信号是由刹车踏板的移动产生的。由于踏板无法移动以及CAN断路,刹车踏板开度信号传不过来,刹车强度无法在ESP中对当前强度加以修正,即ESP缺少主缸压力的修正项,ABS的启动点将由断路前瞬间的油压决定,所以会有异常。
总体而言,在自动驾驶L3等级以下,驾驶员的意图仍是一切自动辅助系统的首要条件。当故障时因为油路被封闭而踏不下去,驾驶员的意图就无法变为刹车踏板开度变化,变为有效的CAN信号,传送到相关的其它节点及ESP(例如电机控制器中实现刹车优先)。所以这是半自动驾驶车避不开的问题。
因此在有故障而转向ESP hev控制时,BOSCH应该给双联动主泵的输出油路提供泄压路径,以保证踏板可以踩下,使驾驶员的刹车意图变为有效的CAN信号,同时CAN网络要留有冗余,以及相应的通信软件设计,保证冗余刹车信号送达目的刹车软件。
1.看明白了CAN的错帧漏检,车厂就不能敷衍你了!
2.改进CAN是MCU厂商送给自己汽车客户的礼物!
3.杨福宇专栏|寻找可超车的弯道:伟人讲破字当头,立也在其中了
4.杨福宇专栏|Tesla为什么会突然加速?
5.杨福宇专栏|特斯拉突然加速与刹车失灵的可能原因探讨!
6.杨福宇专栏|温州特斯拉失控案EDR数据的深度解读
7.杨福宇专栏|2021年5月18日重庆特斯拉地库撞墙事件的技术分析~
免责声明:本文系网络转载,版权归原作者所有。如涉及作品版权问题,请与我们联系,我们将根据您提供的版权证明材料确认版权并支付稿酬或者删除内容。
