如何看待特斯拉电机故障失速骤停？ 第1页

五月以来，电动汽车行业发生了两起动力相关的事故：一个是特斯拉失去动力，另一个是理想智造ONE刹不住车。

与车门打不开、总装缝隙过大这种普通质量问题相比，这两起事故显然是严重质量问题。汽车工程师会进一步关心两个问题：

• 故障分级：都是严重的质量问题，哪一个更严重？ 失去动力更严重还是刹不住车更严重？
• 安全措施：针对不同严重程度的质量问题，安全措施有何不同？

故障如何分级？

特斯拉与理想智造ONE的事故，均由电子电器故障引起，都属于功能安全(Function Safety)问题。不同故障可分为5个等级，分别是ASIL D、ASIL C、ASIL B、ASIL A、QM.

ASIL是什么意思？ 是汽车安全完整性等级(Automotive Safety Integration Level)的简称。ASIL D最高、ASIL A最低。

故障等级越高，意味着整车厂需要用更高可靠性的硬件、更完善的软件开发与验证流程（当然，成本也就越高）。

大家注意到下面这个新闻了吗：华为自动驾驶操作系统内核获得ASIL-D认证。并不是说，你用了我这个系统就满足ASIL-D的标准了，而是你用我这个系统不会成为你开发ASIL-D系统的瓶颈。

反言之，如果一个车出现了等级很高的故障，那就意味着以下可能之一：

• 定级偏低： 本来一个ASIL D的故障，你定成了ASIL A，那开发的时候自然不会花太多力气。
• 零部件的安全等级不够：如果一个零部件的故障率就是高得离谱，那你系统集成能力再高也没用。
• 系统集成存在问题：零部件正常，但是系统级别的故障预警与响应没做到位。

不是还有一个QM等级吗？ QM是质量管理(Quality Management)的意思，也就是说：QM等级的故障太轻微了，属于普通质量问题、属于造车基本功问题，我就不管这事儿了。

也就是说，要分辨特斯拉失去动力与理想智造ONE刹不住车哪个更严重，我们只需要判断故障属于哪个ASIL等级。

故障如何定级？

故障定级，要依据ISO 26262，使用危害分析与风险评估(Hazard analysis and risk assessment, HARA)方法。具体可参考 @小青的风筝 的科普：

简单地说，从3个角度来考查故障：

• Severity严重度：危害事件会对人造成多大危害？（S0无大碍、S1轻伤、S2致残、S3致死）
• Exposure暴露度：此危害事件的情景(Scenario)发生的频繁程度？(E1基本遇不到、E2每年一次、E3每月一次、E4每次开车都有)
• Controllability可控度：驾驶员通过观察系统警示信息或快速反应，以避免危害事件发生的难易程度（C1人类做不到、C2部分人能做到、C3大部分人能做到）

从3个角度分别打分，然后查表到得最终的ASIL等级：

好了，知道了方法，咱们给特斯拉失去动力与理想智造ONE刹不住车打分定级吧！幸运的，这俩故障都属于“常见故障”，业届打分是有共识的。

你想往高了打，没人有意见（意味着开发成本更高）；你想往低了打，就要面临行业各方的压力了，做好舌战群儒的准备吧！

特斯拉失去动力的故障等级

从无数场景中选中6个相对苛刻的场景，大部分是高速场景：老司机都知道，在城市道路上失去动力，最多被后车滴滴几下，除了可能被打之外，没啥安全风险啊！

在高速场景中，后车距离过近、超车过程中进入快车道两种情况下失速，是很危险的——驾驶员可能没有足够的反应能力、没有足够的时间返回应急车道，那就要面临追尾事故。

从上表来看，特斯拉失去动力是ASIL A等级。 其实，这个定级是偏低的，ASIL B应该更合理！

为什么对失去动力这种故障打分偏低，业届也就睁一只眼、闭一只眼了？ 因为大部分动力系统故障发生后，唯一能做的安全措施就是“切断动力输出”；如果你把“安全措施”打分到ASIL B，这功能安全没法做了啊！

从系统反应来看，特斯拉是意识到风险，并做出了“相对安全的措施”。

至此，我们可以从功能安全的角度，为特斯拉电机故障失速骤停事故定性了：

• ASIL A级别的故障： 属于严重质量问题中的较轻微故障。
• 属于零部件的故障，系统正常工作、意识到了风险、甚至做出了“安全措施”。从功能安全的角度来说，特斯拉的表现甚至可以说是合格的！
• 要注意的是：功能安全关注的安全底线，而不是产品质量。即使从功能安全的角度是合格的，并不意味着对消费者是负责的。

理想智造的刹车故障

理想官方描述： 电子刹车助力丢失、机械刹车与制动回馈正常，仅依靠机械刹车还是能刹住的。

咱们首先看看博世自己的定级：毫无疑问，ASIL D —— 并非丢失所有制动才是ASIL D，只要是制动力too low就是ASIL D。

是博世的锅，还是理想智造的锅？我们还是要更全面地看待这一问题。

根据理想官方描述，即便电子助力刹车失效，机械刹车作为冗余备份，提供的制动力足够保证安全。

那么这个锅就在驾驶员身上了： 电子刹车助力失效了，我只是仪表上发一个警示，谁让你反应如此过激，吓得连刹车都不敢踩了？

假设你是驾驶员，在高速上吃着火锅开着车，发现前面有一辆大货车。然后你用往常的力度踩刹车发现没反应（需要踩更深才行），第一反应看仪表告诉你助力故障了。

眼看离大货越来越近了，几个大大的叹号让你头脑发蒙，请问你能否在3秒内做出反应：机械刹车还在，你只需要更用力踩刹车就可以了。

从没有人性的功能安全角度来讲，系统的机械刹车还在；但正常的驾驶员根本反应不过来，那不一定是不存在吗？ 还是ASIL D。退一万步讲，如果非要辩论说：至少有90%的驾驶员可以反应过来，那最多可控度降一级，从C3到C2，那就是ASIL C。

如果开发初期就认为这是ASIL D或C的故障，在功能设计上会有很多改进：

• 故障识别的时机：从车主描述来看，判断不出是“踩刹车时才警告助力丢失”还是“突然看到助力丢失才慌忙踩刹车”。如果是前者，那这个系统是明显有问题的，电子刹车助力丢失应该提前识别预警；如果是后者情况，那这个驾驶员确实有点反应过激了……
• 仪表警示设计：仪表是车辆人机交互的核心部分（特别是对于“智能电动车”来说，更要讲人性化）。本来应该设计一个更容易理解的警示，比如“助力丢失，但机械刹车仍在，请您需要制动时踩刹车更用力”；结果现在几个生硬的、不容易理解的警示，把驾驶员吓得手忙脚乱，让本来的小故障差点变成了大的安全问题，是不是违背设计初衷了呢？
• 刹车踏板特性设计：如果冗余的机械刹车的踏板特性与电子助力刹车相同，驾驶员就不会因为踩踏板后制动力不一致而手忙脚乱、反应过激了。

理想智造的问题定性（善意的角度）：

博世的核心零部件出现合理范围内的故障，根据安全设计向整车系统发送了警示；人机交互设计存在问题，导致整车通过仪表吓坏了驾驶员，导致一个小故障差点酿成了大事故。

从功能安全的角度，这是一个ASIL C/D等级的故障、但是整车与零部件都几乎没有做错什么；只是一个不太贴心、甚至有误导性的人机交互设计，吓坏了一个反应过激的驾驶员不敢深踩刹车。

所幸没啥严重后果，如果不是搞学术的，也没必要深究。和和气气的，大家就散了吧。