汽車行駛過程中,如果發動機電腦板(ECU)突然出現故障,車子會不會失控?
比如會不會出現收不住油的情況?
要看是什麼故障。一般性故障會報警並且發動機進入保護模式,限制扭矩輸出,靠邊停下就好了。如果突然熄火,受影響的是制動和轉向,真空助力消失(但不會一熄火就沒助力,是你踩一兩腳剎車之後助力消失),助力轉向基本就沒有了。此時儘早把車停下來。沒有助力不代表沒有方向和制動,你還是能控制,只是要費勁。如果發動機飛車,那就切斷動力,比如切空擋,變速箱控制單元同時壞的可能性不大。如果沒法換擋,只好把車踩停,一般車動力沒有制動力大。
為防止ECU故障造成安全事故,目前至少歐洲範圍內發動機ECU上都有專門的監控模塊。參見由德國若干汽車廠商採用的ECU安全策略:https://www.iav.com/sites/default/files/attachments/seite/ak-egas-v5-5-en-130705.pdf 該標準也是按照前述ISO26262標準制訂的。
按此策略,對發動機的安全監控目標主要是:
1,監測發動機是否在不該輸出扭矩時輸出扭矩,如怠速,停車,剎車等情況下。
2,監測發動機輸出扭矩是否高於該工況下的限值,比如司機只踩了10%的油門,結果發動機輸出了最大扭矩。
如果ECU出現以上異常,即採取以下措施:
1,刷新ECU,即reset
2,限值發動機轉速和扭矩輸出,只允許低轉速低扭矩運行,保證開到修車廠或者開回家。
3,熄火
為防止以上監測功能的失效造成安全事故,ECU還設有更高一層的監測模塊,對以上監測功能進行監測,如有異常,也會採取保護措施。
如果完全按照ISO26262(Functional safety)來規範設計,開發,測試流程,這樣出現事故或者失控的情況或者導致嚴重意外的幾率會大大減小。
以上好多回答提及到好多不同的故障,從部件控制到信號傳輸。這些都應該在設計實現發動機時都已經被考慮。
ISO 26262
The ten parts of ISO 26262:
- Vocabulary
- Management of functional safety
- Concept phase
- Product development at the system level
- Product development at the hardware level
- Product development at the software level
- Production and operation
- Supporting processes
- Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analysis
- Guideline on ISO 26262
上面是ISO26262的大綱,從Cap 3開始可以說是普通OEM或者供應商設計時都應該開始主動參與的。 第9點是一個對故障所產生結果的評估。當達到一定級別時,廠商必須要考慮,並給以一定的解決方案。
比如電子手剎裝置在汽車靜止在斜坡上失靈的案例。由於很經常被使用,而且可能可能由於失靈而導致嚴重的傷害,駕駛員也無法控制,可以說會被評為D(最高級別)的ASIL等級,那麼廠商應該找到相應解決方案。比如首先相關信號的應該要達到高質量,不能輕易被干擾。其次,當出現問題時,比如由於過低壓而shutdown時,default或者SNA的指令信號應該是apply剎車系統。
可能,即使完全按照ISO2626規範來定義Cases,來找相應方法也無法避免所有的危險,但是能大大降低一些由於功能失控所導致的危險。
對於發動機控制來說,最重要的是節氣門控制,只要節氣門不失控,就不會出現暴沖這樣的失控情況,最多熄火。
現在大多車是電子節氣門,對EMS的ECU來說,節氣門的控制安全要求最高,一般都有不同的硬體互相的監控,一旦檢測不可恢復的失效,會及時關閉節氣門。
ECU之間的通信是定時發生的。也就是說要是某個模塊在一定時間內沒有發出通信,就會觸發錯誤處理。
不是有現成案例嗎!!!!豐田「失速門」,高速上,豐田車開啟巡航模式後,無法退出,剎車系統,電子手剎全部失效,也就三年前的事,不久啊………就在杭州到上海高速上的事……
在做EPS,為了自動駕駛能夠滿足Failsafe的10Fit要求,基本現在的supplier都在做redundent system。一個system死掉了,還剩下50%的動力在assist,來做到不在瞬間失去動力的同時,讓用戶體會到轉向助力的下降來引起警戒。這樣子做到的rimp home或者rimp aside感覺上確實是會比普通的10-15s靠邊停可靠些。
亂扯一句,為了自動駕駛,各個supplier和oem真的拼了老命了。。2020自動駕駛見。 還沒學駕照的童鞋們,忍個幾年也就有車坐了哈,還不用挨教練的訓,嗯。。。
汽車上所有部件都有做失效分析,看它如果壞了,最壞的結果會怎樣。如果最壞結果不可接受,那必然要想辦法。從這個角度說,工程師無論如何也不會讓車子出現ECU壞了就收不住油的情況的。
車上絕大部分部件假如突然失效,都不會引起災難性的後果。只有一個例外,沒辦法處理,就是爆胎。現在市面上的車的強制標準已經可以保證:
1. 題主說的這種情況幾乎不會發生;
2. 如果發生,駕駛員依然可以控制。
ECU只要故障,發動機就熄火。不信你可以把你的感測器線拔掉幾個試試。
得看是什麼故障了,ECU控制的東西雖然多但是基本不太可能出現失控的情況。
電控系統是防止非預期加速是絕對必須的功能,這個不用怕,發動機也就是c級,轉向制動才是d級
任何都有發生的概率,危險性高的故障,車廠都有專門的安全要求與之對應。已經在技術上降低到可以接受的範圍內。
突然非期望加速這種,是最高優先順序的故障,都會有大量的軟硬體監控的。所以請放心就好。。。
當然技術實力弱的車廠,如果軟體沒做好,還是有可能出現的。
某田的事情說是踏板問題,實際上這個說法是公眾的解釋,主要還是要更新軟體,修復剎車優先的bug降
嚴格來說,ECU出現故障,確實有可能會導致車輛失控。但根據業界的ISO26262標準,從發生概率,車輛可控狀態和造成後果的嚴重程度3個方面把危險控制在可以接受對人身安全影響最小的程度。在這項工作中最主要的關注點就是人,包括乘車者和可能會影響到的車外人員。目前ISO26262早已經是國外主機廠使用成熟的標準,國內老實說還在摸索中
在做EPS,這是個Failsafe問題,需要根據ECU故障情況,判定不同的故障等級,ECU再做相應處理,或亮故障燈或降低助力跛行回家或切斷助力等等。發動機epsesc等屬於汽車裡的安全件,供應商必須要對各種失效模式進行診斷並處理,需要向整車廠提供自己的控制器硬體軟體FMEA等關鍵資料。長安奔奔的方向盤抱死就是EPS感測器磨損導致的,近期出現多次的自動轉向估計也和EPS相關
軟體角度,一般不會。各種測試之後,系統設計中,在安全相關的功能開發的時候,有很嚴格的對故障和出錯的monitoring,怕這個monitoring出錯,又對monitoring進行monitoring, 根據分級,有的會做到4層monitoring!
從我測過的車用ecu來看都是具有保護模式的,當然也要看什麼故障,最常用的保護模式基本都是指向停止狀態的
首先假設其他模塊是正常的,如果發動機控制器已經檢測出錯誤,問題不大,發動機自己做保護處理。但如果出現問題發動機沒有檢測到錯誤,那就有可能了,這也屬於程序的bug,上市前沒有測試出來。概率比較小。 手動擋的車不加油往前走可以踩住離合就可以了。
自動擋的車一般會剎車優先,即使油門檢測出現問題,踩住剎車,發動機也會進行限制。
自動擋車,出現這種不加油往前走工況比較複雜,不只是發動機問題,還與變速箱軟體,其他檢測模塊如油門,換擋桿機構檢測等有關係,甚至與abs也可能有關係。
這個是個失效模式的問題。還好,通常ecu的供應商都是大牌,這些潛在的問題,他們基本都有解決方案。比如要進行軟硬體測試,減少bug,在軟體中增加安全監控,尤其是節氣門踏板剎車等關鍵信號。針對各種軟體checksum硬體過熱cpu過載控制器執行器信號異常都有直接檢查。對於節氣門體卡死,噴油器漏油也可以通過其他信號進行合理性驗證。等等,所以出問題的概率很小,基本都考慮到了,並有對策
油門踏板感測器不是有兩個嗎?兩個同時壞的幾率很小。假如同時壞了,是會出現控制不了油門的情況。這個時候你可以剎車啊。
假如是軟體故障導致控制不了油門的話就沒辦法了,修改程序吧。突然熄火或者加速,開發前期也不少見。
汽車行使過程中,發動機ECU發生的故障可能性較小,因為每次上電,控制器都會進行一次自檢,確保沒有問題才可行使。過程中問題多為斷線,短路。會進入保護狀態,讓司機靠邊停車。
當然了,美國這邊,某田和某雷的自動加速去年剛剛和解,每人賠幾十到幾百的,換來出事也不能起訴。呵呵。
**Audio** 911 Tape from crash that killed CHP officer and family ? Sudden Acceleration
這段錄音是加州某高速巡警人生最後幾分鐘,當時,雷系某車高速自動加速停不下來,他打給911,直到撞毀。
推薦閱讀: