线控技术到底安不安全 这个话题,小电倒是略懂一二。
机械系统的失效是物理性的、线性的、可预期的(比如拉杆断裂、漏油,通常有前兆,且极限情况下人可以用蛮力抗衡);而线控系统的失效是逻辑性的、突发的、不可预期的(比如一个Bit翻转、软件死机、电磁脉冲干扰)。方向盘转了,轮子不动,你用再大的蛮力也没用,因为你们之间已经没有物理连接了。
听起来确实有点吓人?那么,既然这么危险,为什么车企还要拼命搞?因为自动驾驶的终局必须是线控(机器人可没法去踩机械踏板)。
为了把线控的不安全性降到比机械还低,工程师发展出了现代汽车工业最硬核的学科:功能安全(ISO 26262)。核心的设计逻辑可以归纳为以下三点:
1. 异构冗余:绝不让两块砖砸在同一个脚趾上普通的备份叫“相同冗余”(两个一样的系统),高级的叫“异构冗余”。以线控制动为例:主控路: 博世的ESP系统(用英飞凌Aurix芯片,跑AUTOSAR CP操作系统,走CAN-FD总线)。备份路: 大陆的EMB或者另一套独立制动(用恩智浦S32G芯片,跑Linux RT操作系统,走车载以太网)。硬核点: 芯片不一样、代码不一样、编译器不一样、通信协议不一样。目的是杜绝“共因失效”。 就算主路被黑客攻破或者芯片有Bug,备份路也绝对不受影响。
2. 从 Fail-Safe 到 Fail-OperationalFail-Safe(失效安全): 坏了就停。比如线控油门(电子油门早就是线控了),坏了就断油,车慢慢停下,这很安全。Fail-Operational(失效降级运行): 这才是线控转向和制动的难点。如果高速上转向坏了,车不能直接“停”,那会车毁人亡。系统必须保证:即使主系统爆炸,备份系统至少还能提供50%的转向助力,维持车辆在车道内,直到靠边停车。 这就需要双电机、双ECU、双绕组的极端设计。
3. ASIL-D 等级的极限压榨ISO 26262里最高安全等级是ASIL-D,要求单点故障失效率小于10^-8次/小时(大概相当于一台车开一万年才出一次致命故障)。为了达到这个指标,线控系统里充斥着端到端的校验、看门狗、电流环闭环监控等。
所以,直白一点讲,如果按照图纸上的设计,线控绝对安全。不过,现实是骨感的,真正的危险往往出在图纸之外……汽车黑科技听不懂的汽车黑话
