最近賓士(Benz)定速巡航失控,在時速120公里(km)狂奔近1小時的新聞沸沸揚揚,雖然事件本身的真相還未還原,但是對於汽車電子可靠性的探索倒是一個很好的角度。

看完大量的技術分析,有一點值得先拿出來給大家吃個定心丸,那就是:

在踩踏的力足夠大的情況下,無論電子系統出什麼問題,汽車都是可以停下來的。這是有法規要求的,因為踩刹車制動除了電子控制/助力以外,是可以直接把踩踏板的力,透過槓桿系統、液壓系統產生制動,並且足夠使車停下來(只是感覺刹車踏板會很硬),也就是說,這點不需依賴任何電子系統,在任何電子系統失效的情下都是可以被保證的。

回到定速巡航,這個功能理論上非常容易跳出,比如:手動按鈕取消定速巡航、掛空擋的時候、馬達控制器發現無法跟隨車速的時候、下陡坡的時候、當駕駛踩刹車的時候、當馬達控制器檢測到任何錯誤的時候(包括軟體錯誤、訊號丟失、接受到的訊號不可信等)…等。當然,世界上沒有絕對的安全,那我們就來看看,有多少零件壞了才會「巡航失靈」?

大膽設想:有多少零件壞了才會巡航失靈?

中國知乎網友何先生分享了自己的觀點:

我標定過定速巡航,也稍有瞭解功能安全監控,我來說說要有多少零件壞了才會巡航失靈!

首先,定速巡航是一種保持一定速度的巡航,這點不同於自我調整巡航。當120km/h巡航時,踩下刹車,ECU 接收到刹車感測器訊號,巡航馬上會退出。

第二,不巧,刹車感測器壞了,ECU不知道你踩刹車了,還能允許你保持時速120公里行駛,沒關係,踩下刹車會導致汽車減速度過大,ECU 規定汽車減速度超過一定值時,必須退出巡航,所以此時巡航退出!

第三,不巧,刹車雖然是機械結構,很小的概率才會壞,但沒辦法真的壞了,沒有制動力了,汽車停不下來!沒關係,為了安全,汽車都會有主刹和輔刹,輔刹說不定還能工作,如果輔刹能工作,巡航也能退出!

第四,不巧的是,輔刹也壞了,此時兩個刹車同時壞了,應立即報刹車系統故障,這是個嚴重的故障,ECU 應該立即限扭熄火停車,此時巡航也能退出!

第五,又巧了,刹車失效沒報故障或者報故障沒反應,此時我應該換空擋位,因為檔位元變更都會導致巡航退出!

第六,沒想到變速箱可能都有問題,那看來是ECU出問題了,沒事,應用層軟體失效會導致功能安全啟動(所謂功能安全模組是指軟體裡對應用層功能的監控,發現不正常就會立即回應報錯處理),此時會停車熄火,巡航退出!

第七,安全監控都能失效,看來是奇葩啊,應用層與監控層一起失效真不多見,看來是晶片掛了。沒關係,晶片掛之後,ECU 會啟動自己對自己的晶片層監控,報錯,立即停車熄火,巡航退出!

第八,好吧,看來ECU和刹車等一系列硬體都掛了,但是一想到車主還能開車門,解安全帶減速,這是ECU對不正常駕駛行為的反應,此時我又覺得ECU應該沒壞!!??

20180321NT02P1

中國知乎網友李鐵皮表示自己碰巧做過巡航系統的開發,他認為,在馬達ECU正常的情況下,利用操作巡航按鍵、踩刹車、拉起電子手刹、掛空擋、長按啟動開關(熄火)都可以退出巡航。

除此之外,一些異常狀態例如主動安全/被動安全功能觸發(ABS/ESP/安全氣囊爆開)也都會導致退出巡航,馬達自身和巡航按鈕的故障也會導致退出巡航。

退一萬步講,即使馬達ECU出了問題,並且卡在了巡航啟動的狀態中(幾乎不可能),也是可以透過排檔桿掛空擋直接解除機械上的動力傳遞。

即使電子換擋單元碰巧也出了問題,車子進不了空擋(幾乎不可能),也是可以利用踩刹車把車子停下來。車輛制動力和馬達驅動力根本不是一個量級的,強制關掉一個馬達輕輕鬆鬆。

即使刹車助力模組碰巧也出了問題,車子失去制動助力(幾乎不可能),但基礎的制動還是在的,以一個成年男子的腿部力量也是可以在200公尺(m)以內把車子停下來(國家制動法規對助力失效後果的約束)。

車輛測試人員:兩個原理性的質疑

中國知乎網友鄭菲表示,作為一個車輛測試人員針對此次賓士巡航失控事件提兩個原理性的問題:

1.一般而言,自我調整巡航是由額外控制器控制的,而定速巡航部分通常在馬達ECU中實現。

馬達ECU的安全等級是:所有的控制器都不運作了它都不會停的那種。

無論是定速巡航還是自我調整巡航,要正常工作都需要一系列訊號滿足相應的條件才能進入啟動狀態,例如制動訊號、車速訊號、馬達標誌位元等,如果匯流排訊號不正常,那麼系統會退出。所以yy匯流排訊號由於干擾而不正常導致該事件之類的,checksum和各種watch+dog表示你們可以洗洗睡了。

此外,打開車門解開安全帶,車速會下降到60。那麼說明安全監控邏輯在正常工作,這也說明馬達ECU並沒有跑飛。那麼問題來了,到底是誰給ECU提供了假訊號導致定速巡航始終不能退出?

2.結合報導中車主在事件之後還能夠正常駕駛前往目的地這一點來看,基礎制動系是正常工作的。再加上車主號稱「業餘賽車手」,想來應該掌握了全力刹車的技術,那麼基礎制動系能夠發出的功率大概有1兆瓦,而C200的馬達的最大功率大約0.14兆瓦,120定速巡航的時候可能只有0.05兆瓦的樣子,所以1 vs 0.05,為什麼會停不下來?

賓士售後觀點:不可能發生在正常保養的C級車上

中國賓士網友「英雄在城堡」自稱是賓士售後機電組的一員,雖然不是代表官方,但是他的觀點也很值得分享:

我認為這種情況不可能發生在一輛正常保養的C級車上,或者說是任何一輛正常保養使用的賓士車上。

理由如下:

第一重點:『定速巡航功能 在制動踏板有訊號之後,必須退出,有法律法規要求。』

第二重點:『如果刹車踏板位置感測器失效,導致無法切換檔位,w205(C級車)不是iBoost,只要踩制動踏板就可以推動主缸和刹車助力泵,產生制動力,產生的制動力絕對能使車停下來,同樣有法律法規要求。』

第三重點:『若刹車踏板位置感測器失效,刹車助力泵也失效。用力踩制動踏板即可推動主缸,產生制動力,產生的制動力足夠使車停下來,還是有法律法規要求。實測過,這樣可以產生約0.8g減速度,一般車地板油0.5g加速度頂天,馬達滿扭矩輸出,車還是會減速,停下來。』

第四重點:『電子手刹在一定速度以上行駛中按下,若硬體制動系統正常,能產生80%的最大制動力,該邏輯由ESC系統提供,有標準規定。』

最後我想說,只有刹車踏板位置感測器失效,刹車助力泵也失效,兩套制動線路全都漏油,就是整套刹車系統完全失效,這個時候才有可能刹不下來 (根本不可能突然出現這種情況)。

但是,按照我和很多同行多年的經驗,這種情況不可能突然發生,除非是人為,但是,就算是人為,在開車起步的瞬間也會察覺,並不需要專業知識(踩刹車沒反應你還敢開?)。

小結:汽車從純機械一步步走向最終自動駕駛的途中,可靠性和安全性是個嚴肅的問題,這些都值得不僅是汽車電子工程師,而是所有所有人的關注。