百科问答小站 logo
百科问答小站 font logo



如何看待特斯拉电机故障失速骤停? 第1页

  

user avatar   zhangkangkang 网友的相关建议: 
      

五月以来,电动汽车行业发生了两起动力相关的事故:一个是特斯拉失去动力,另一个是理想智造ONE刹不住车。

与车门打不开、总装缝隙过大这种普通质量问题相比,这两起事故显然是严重质量问题。汽车工程师会进一步关心两个问题:

  • 故障分级:都是严重的质量问题,哪一个更严重? 失去动力更严重还是刹不住车更严重
  • 安全措施:针对不同严重程度的质量问题,安全措施有何不同?

故障如何分级?

特斯拉与理想智造ONE的事故,均由电子电器故障引起,都属于功能安全(Function Safety)问题。不同故障可分为5个等级,分别是ASIL D、ASIL C、ASIL B、ASIL A、QM.

ASIL是什么意思? 是汽车安全完整性等级(Automotive Safety Integration Level)的简称。ASIL D最高、ASIL A最低。

故障等级越高,意味着整车厂需要用更高可靠性的硬件、更完善的软件开发与验证流程(当然,成本也就越高)。

大家注意到下面这个新闻了吗:华为自动驾驶操作系统内核获得ASIL-D认证。并不是说,你用了我这个系统就满足ASIL-D的标准了,而是你用我这个系统不会成为你开发ASIL-D系统的瓶颈。

反言之,如果一个车出现了等级很高的故障,那就意味着以下可能之一:

  • 定级偏低: 本来一个ASIL D的故障,你定成了ASIL A,那开发的时候自然不会花太多力气。
  • 零部件的安全等级不够:如果一个零部件的故障率就是高得离谱,那你系统集成能力再高也没用。
  • 系统集成存在问题:零部件正常,但是系统级别的故障预警与响应没做到位。

不是还有一个QM等级吗? QM是质量管理(Quality Management)的意思,也就是说:QM等级的故障太轻微了,属于普通质量问题、属于造车基本功问题,我就不管这事儿了

也就是说,要分辨特斯拉失去动力与理想智造ONE刹不住车哪个更严重,我们只需要判断故障属于哪个ASIL等级

故障如何定级?

故障定级,要依据ISO 26262,使用危害分析与风险评估(Hazard analysis and risk assessment, HARA)方法。具体可参考 @小青的风筝 的科普:

简单地说,从3个角度来考查故障:

  • Severity严重度:危害事件会对人造成多大危害?(S0无大碍、S1轻伤、S2致残、S3致死
  • Exposure暴露度:此危害事件的情景(Scenario)发生的频繁程度?(E1基本遇不到、E2每年一次、E3每月一次、E4每次开车都有)
  • Controllability可控度:驾驶员通过观察系统警示信息或快速反应,以避免危害事件发生的难易程度(C1人类做不到、C2部分人能做到、C3大部分人能做到

从3个角度分别打分,然后查表到得最终的ASIL等级:

好了,知道了方法,咱们给特斯拉失去动力理想智造ONE刹不住车打分定级吧!幸运的,这俩故障都属于“常见故障”,业届打分是有共识的。

你想往高了打,没人有意见(意味着开发成本更高);你想往低了打,就要面临行业各方的压力了,做好舌战群儒的准备吧!

特斯拉失去动力的故障等级

从无数场景中选中6个相对苛刻的场景,大部分是高速场景老司机都知道,在城市道路上失去动力,最多被后车滴滴几下,除了可能被打之外,没啥安全风险啊

在高速场景中,后车距离过近、超车过程中进入快车道两种情况下失速,是很危险的——驾驶员可能没有足够的反应能力、没有足够的时间返回应急车道,那就要面临追尾事故

从上表来看,特斯拉失去动力是ASIL A等级。 其实,这个定级是偏低的,ASIL B应该更合理

为什么对失去动力这种故障打分偏低,业届也就睁一只眼、闭一只眼了? 因为大部分动力系统故障发生后,唯一能做的安全措施就是“切断动力输出”;如果你把“安全措施”打分到ASIL B,这功能安全没法做了啊

从系统反应来看,特斯拉是意识到风险,并做出了“相对安全的措施”。

至此,我们可以从功能安全的角度,为特斯拉电机故障失速骤停事故定性了:

  • ASIL A级别的故障: 属于严重质量问题中的较轻微故障。
  • 属于零部件的故障,系统正常工作、意识到了风险、甚至做出了“安全措施”。从功能安全的角度来说,特斯拉的表现甚至可以说是合格的
  • 要注意的是:功能安全关注的安全底线,而不是产品质量。即使从功能安全的角度是合格的,并不意味着对消费者是负责的

理想智造的刹车故障

理想官方描述: 电子刹车助力丢失、机械刹车与制动回馈正常,仅依靠机械刹车还是能刹住的

咱们首先看看博世自己的定级:毫无疑问,ASIL D —— 并非丢失所有制动才是ASIL D,只要是制动力too low就是ASIL D。

是博世的锅,还是理想智造的锅?我们还是要更全面地看待这一问题。

根据理想官方描述,即便电子助力刹车失效,机械刹车作为冗余备份,提供的制动力足够保证安全

那么这个锅就在驾驶员身上了: 电子刹车助力失效了,我只是仪表上发一个警示,谁让你反应如此过激,吓得连刹车都不敢踩了

假设你是驾驶员,在高速上吃着火锅开着车,发现前面有一辆大货车。然后你用往常的力度踩刹车发现没反应(需要踩更深才行),第一反应看仪表告诉你助力故障了。

眼看离大货越来越近了,几个大大的叹号让你头脑发蒙,请问你能否在3秒内做出反应:机械刹车还在,你只需要更用力踩刹车就可以了

从没有人性的功能安全角度来讲,系统的机械刹车还在;但正常的驾驶员根本反应不过来,那不一定是不存在吗? 还是ASIL D。退一万步讲,如果非要辩论说:至少有90%的驾驶员可以反应过来,那最多可控度降一级,从C3到C2,那就是ASIL C

如果开发初期就认为这是ASIL D或C的故障,在功能设计上会有很多改进

  • 故障识别的时机:从车主描述来看,判断不出是“踩刹车时才警告助力丢失”还是“突然看到助力丢失才慌忙踩刹车”。如果是前者,那这个系统是明显有问题的,电子刹车助力丢失应该提前识别预警;如果是后者情况,那这个驾驶员确实有点反应过激了……
  • 仪表警示设计:仪表是车辆人机交互的核心部分(特别是对于“智能电动车”来说,更要讲人性化)。本来应该设计一个更容易理解的警示,比如“助力丢失,但机械刹车仍在,请您需要制动时踩刹车更用力”;结果现在几个生硬的、不容易理解的警示,把驾驶员吓得手忙脚乱,让本来的小故障差点变成了大的安全问题,是不是违背设计初衷了呢?
  • 刹车踏板特性设计:如果冗余的机械刹车的踏板特性与电子助力刹车相同,驾驶员就不会因为踩踏板后制动力不一致而手忙脚乱、反应过激了。

理想智造的问题定性(善意的角度):

博世的核心零部件出现合理范围内的故障,根据安全设计向整车系统发送了警示;人机交互设计存在问题,导致整车通过仪表吓坏了驾驶员,导致一个小故障差点酿成了大事故

从功能安全的角度,这是一个ASIL C/D等级的故障、但是整车与零部件都几乎没有做错什么;只是一个不太贴心、甚至有误导性的人机交互设计,吓坏了一个反应过激的驾驶员不敢深踩刹车。

所幸没啥严重后果,如果不是搞学术的,也没必要深究。和和气气的,大家就散了吧。




  

相关话题

  马斯克发推表示「考虑辞职并成为一名全职网红」,如何评价这一言论? 
  如何评价2021款奥迪A5的性价比? 
  为什么以前拉洋车用人跑而不是用三轮车? 
  如何看待马斯克称特斯拉自动驾驶安全性是普通车10倍?目前自动驾驶技术发展水平如何?你信任自动驾驶吗? 
  如何看待雷军称第一款小米汽车价格区间为 10 万-30 万元,你能接受吗? 
  国内痛车应该如何处理图片版权问题? 
  如何评价 2021 年初全新国产特斯拉 Model Y 的定价为 33.9 万元起? 
  新能源增程汽车是脱裤子放屁吗? 
  你曾经开过最烂的车是哪款车? 
  如何评价奔驰的hypercar? 

前一个讨论
如何评价5月19日发布的iQOO Z1新机?有什么亮点和不足?
下一个讨论
有哪些失传的神技,是过去真实存在,现代人却不相信的?





© 2024-11-23 - tinynew.org. All Rights Reserved.
© 2024-11-23 - tinynew.org. 保留所有权利