文/李彦夫孙亮亮
日前,特斯拉汽车(北京)有限公司、特斯拉(上海)有限公司根据《缺陷汽车产品召回管理条例》和《缺陷汽车产品召回管理条例实施办法》的要求,向国家市场监督管理总局备案了召回计划,决定自即日起召回以下车辆:其中包括生产日期在年9月25日至年11月21日期间的部分进口ModelS、ModelX电动汽车,共计辆。
本次召回范围内的部分车辆由于软件问题,可能出现动力电池电压感测回路反馈电压与电砖真实电压不一致,导致电池管理系统误判,车辆屏幕显示“需要维修”、“安全停靠车辆”等警示,车辆会逐步停止动力输出,极端情况下可能增加车辆发生碰撞事故的风险,存在安全隐患。
图1特斯拉汽车(北京)有限公司所在地华贸大厦一层的特斯拉专卖店
特斯拉汽车(北京)有限公司表示,将通过汽车远程升级(OTA)技术,为召回范围内的车辆免费升级软件,升级后的车辆增加了感测回路电压误报的判断能力,在极端情况下如果在行驶过程中检测到电压感测回路异常,车辆会保持持续的动力输出直到当前驾驶循环结束并驻车,建议用户按照车机提示将车辆驾驶至安全位置或靠边停车。对于无法通过汽车远程升级(OTA)技术实施召回的车辆,特斯拉汽车(北京)有限公司将通过特斯拉服务中心联系相关用户,为车辆免费升级软件,以消除安全隐患(引用1)。
初步研判:BMS某个判断回路设计存在缺陷
在此次召回中,虽然我们看不到特斯拉官方披露的电池管理系统(BMS)结构图和具体代码,但是根据国家市场监管总局缺陷产品管理中心 回放该批次召回车辆屏幕显示“需要维修”、“安全停靠车辆”等警示场景,我们据此初步研判,根据特斯拉该BMS系统最初的设计思想,应该是由控制器直接下达指令给执行器,但是,由于没有设计任何管控机制,从而有可能造成“出现动力电池电压感测回路反馈电压与电砖真实电压不一致,导致电池管理系统误判”这种情况,也就是在汽车的动力电池还处于健康状态下的时候,系统仍然有可能会发生误判,认为某块电砖存在故障。随即,“车辆屏幕显示‘需要维修’、‘安全停靠车辆’等警示,车辆会逐步停止动力输出”。其实际的响应方式是,直接切断车辆的动力,车辆会在驾驶员没有制动的情况下迅速减速,直至停车。
可以说,这种响应设计是非常危险的:如果当时驾驶员正常行驶在高速路面上,同时,高速路上车流量较大,此刻若发生了BMS对电池健康状况的误判,就必然造成车辆的紧急减速。也即“极端情况下可能增加车辆发生碰撞事故的风险,存在安全隐患”。
图3特斯拉进驻中国境内多家大型商场
特斯拉的解决方案:BMS软件升级
我们再看看特斯拉对此问题提出的解决方案:通过OTA给BMS软件升级,以增强检测电压感测回路的能力。这个升级有可能是增加检测电压感测回路,或者增加从执行器到控制器的信号反馈回路。
从系统可靠性理论的角度来看,这样就为“感测回路电压”功能增加了数据冗余,让BMS对电砖的健康状态进行更为准确的判断,监测汽车的动力电池是否真的有问题,减少误判。
在此基础之上,特斯拉对与之相关的后续响应也进行了改善,也就是说OTA以前,当BMS系统发现电池有问题,它会马上切断车辆的供电,导致车辆迅速停车;OTA后,当BMS系统发现电池有问题,则不会切断车辆的供电,而是立刻向司机发出警示,提醒司机根据实际路况进行停车检查。这样一来,整体的交通安全就得到了更有效的保障。
由此引出的思考:亟待建立第三方软件安全评估机制
通过这一案例,我们还可以做进一步的思考,比如消费者看到特斯拉BMS问题也许会发出质疑:为何此类设计上的缺陷会出现在批准量产的汽车上?为什么该缺陷没有被及时发现并整改?
针对这个疑问,我们可以从质量监管的角度来分析,就是我国尚未启动与汽车软件安全相关的第三方评估机制。我们应该通过设立一个中立的、专业的汽车软件设计评价机构,对此类安全相关的软件设计进行评价,从而补上这个缺口。虽然现在各家主机厂的BMS数据都会按照GB/T《电动汽车远程服务与管理系统技术规范》,通过实施监测系统(RTM)统一上传到工信部指定的数据库中,并进行实时监管,但是,像特斯拉此次召回事件中所暴露出的设计缺陷,此前并没有第三方对它进行过技术上的评审。特斯拉通过此次召回,确实能够对设计上的缺陷进行优化,实现软件功能从理想化到现实化的跨越。
但实际上,我们也许可以借鉴传统油车的设计经验,来更好地为电动车的发展助力。比如,德国大众汽车的经验,当车辆的动力管理系统监测到问题的时候,它并不会直接给车辆切断动力,而是根据车辆自身各种功能的优先等级,按照由低到高的顺序,逐级切断这些功能的动力供应。
当我们在与德国汽车专家交流的时候,这一设计经验给我们留下了非常深的印象。比如当我们在讨论电台广播/无线通信功能和空调功能的优先等级高低时,我们往往认为电台广播/无线通信功能一定是高于空调功能的;但是,德国的汽车专家告诉我们,空调的优先等级排在电台广播/无线通信前面。
虽然电台广播/无线通信可以提供实时的通信信号,但实际上,当动力存在问题时,油车的动力控制系统会首先切断电台广播/无线通信功能,而空调功能的电源供应仍然得到保障。这是因为在炎热或极寒的环境下,空调功能是否能够正常工作,直接关系到驾驶员的人身安全。其设计思路是:将保障人身安全作为汽车动力供应优先等级排列的设定标准。
所以,当新能源汽车考虑动力管理问题时,是否能够从传统油车的设计理念中得到启发,对其有所借鉴。事实证明,很遗憾特斯拉没能吸收传统油车的成功经验,以保障人身安全作为BMS软件设计的出发点。
此外,特斯拉的此次召回还暴露了一个问题:特斯拉召回的车辆,其生产日期最早能追溯到年9月25日,约九年时间已经过去了。在这段时间里,无论是特斯拉内部的设计团队,还是外部机构,都未能及时发现并敦促特斯拉对该设计漏洞进行改善。
综上可见,在当今汽车电动化、网联化、智能化、共享化的“新四化”时代,我国汽车市场亟需成立一批兼具专业性和权威性且足够中立的评估检测与科研机构,针对各项新兴技术在现实场景中的潜在设计缺陷与应用安全隐患,开展横向调研评估工作、专业性检测工作,以及基于国际顶尖技术的前瞻性研究工作。
(作者单位:清华大学质量与可靠性研究院清华大学工业工程系)
引用1:
引用2:M.Ragoneet.al.,Datadrivenestimationofelectricvehiclebatterystate-of-chargeinformedbyautomotivesimulationsandmulti-physicsmodeling,JournalofPowerSources,Volume,,,ISSN-,