「賓士定速巡航失控，車速 120 狂奔近 1 小時，終由客服後台操控停下」的新聞是否屬實？怎麼回事？

03-19

事件最新進展：
3.17 凌晨，車主微博回應：感謝關心，感謝交警，等待檢測結果，不接受採訪

3.16 晚間，賓士回應巡航失控狂奔百公里：不具備後台干預車輛技術

3.16 下午，車主通過媒體描述：最終車輛停下來還是靠打開車門，是賓士方面指導的，他打開一個車門後，車輛就開始自動降速，最終降到了每小時二三十公里，這時候剎車才能使用了。
賓士回應巡航失控狂奔百公里：不具備後台干預車輛技術-中新網?
www.chinanews.com

知乎專題：賓士轎車失控，深夜狂奔豫陝高速
14 號的事情，大家怎麼看？屬實嗎？
新聞稱：車主打了客服、110 電話，曾想過剮蹭停下，後開車門使其降速，交警開道讓車駛過收費站，最終客服遠程使其停下。（*後證實非遠程控制使其停下）
定速巡航失靈都有哪些原因？
定速巡航深夜失靈失控賓士車120公里時速狂奔近1小時?
news.ifeng.com

是不是只有我一個覺得這新聞有點假

我標定過定速巡航，也稍有了解功能安全監控，我來說說要有多少部件壞了才會巡航失靈！

首先，定速巡航是一種保持一定速度的巡航，這點不同於自適應巡航。當你120km/h巡航時，踩下剎車，ECU 接收到剎車感測器信號，巡航馬上會退出。

第二，不巧，剎車感測器壞了，ECU不知道你踩剎車了，還能允許你保持120碼行駛，沒關係，踩下剎車會導致汽車減速度過大，ECU 規定汽車減速度超過一定值時，必須退出巡航，所以此時巡航退出！

第三，不巧，剎車雖然是機械結構，很小的概率才會壞，但沒辦法真的壞了，沒有制動力了，汽車停不下來！沒關係，為了安全，汽車都會有主剎和輔剎，輔剎說不定還能工作，如果輔剎能工作，巡航也能退出！

第四，不巧的是，輔剎也壞了，此時兩個剎車同時壞了，應立即報剎車系統故障，這是個嚴重的故障，ECU 應該立即限扭熄火停車，此時巡航也能退出！

第五，又巧了，剎車失效沒報故障或者報故障沒反應，此時我應該換空擋位，因為檔位變更都會導致巡航退出！

第六，沒想到變速箱可能都有問題，那看來是ECU出問題了，沒事，應用層軟體失效會導致功能安全激活（所謂功能安全模塊是指軟體里對應用層功能的監控，發現不正常就會立即響應報錯處理），此時會停車熄火，巡航退出！

第七，安全監控都能失效看來是奇葩啊，應用層與監控層一起失效真不多見，看來是晶元掛了，沒關係，晶元掛之後，ECU 會激活自己對自己的晶元層監控，報錯，立即停車熄火，巡航退出！

第八，好吧，看來ECU和剎車等一系列硬體都掛了，但是一想到車主還能開車門，解安全帶減速，這是ECU對不正常駕駛行為的反應，此時我又覺得ECU應該沒壞！！

好吧，這事超過我的認知範圍了，這題我不會。

做為開發車輛時經歷過制動助力掉了，轉向助力掉了，剎車油液漏光了等等情況的工程師，我的經驗是只要使勁踩剎車總是停的下來的。哪怕我覺得「這輛車想害朕」，踩剎車也還是能停下來。只要我還清醒，就不會出現車子停不下來的情況。

BTW，電子助力制動和真空助力制動是一樣的，都有機械結構直連主缸，所以就算電子系統都失效了，也還是能停下來。

再補充一下，在發動機最低檔全油門輸出時，踩住踏板，滿載的車輛應該在200m內從100kph停下來。

圍觀了這麼久，一個做駕駛員輔助的答主都沒有，大概是不屑於這類智商稅問題。倒是各種吃瓜群眾信誓旦旦的說：真的，肯定是真的。

我作為一個車輛測試人員出來越俎代庖提兩個原理性的問題吧。

一般而言，自適應巡航是由額外控制器控制的，而定速巡航部分通常在發動機ECU中實現。發動機ECU的安全等級我就不羅嗦了，反正就是所有的控制器都涼了它都不會涼那種。
無論是定速巡航還是自適應巡航，要正常工作都需要一系列信號滿足相應的條件才能進入激活狀態，例如制動信號、車速信號、發動機標誌位等等，如果匯流排信號不正常，那麼系統會退出。所以yy匯流排信號由於干擾而不正常導致該事件之類的，checksum和各種watch dog表示你們可以洗洗睡了。
此外，打開車門解開安全帶，車速會下降到60。那麼說明安全監控邏輯在正常工作，這也說明發動機ECU並沒有跑飛嘛。
那麼問題來了，到底是誰給ECU提供了假信號導致定速巡航始終不能退出？
結合報道中車主在事件之後還能夠正常駕駛前往目的地這一點來看，基礎制動系是正常工作的。再加上車主號稱「業餘賽車手」，想來應該掌握了全力剎車的技術。那麼基礎制動系能夠發出的功率大概有1兆瓦，而C200的發動機的最大功率大約0.14兆瓦，120定速巡航的時候可能只有0.05兆瓦的樣子，所以1 vs 0.05，為什麼會停不下來？

問題提多了怕交警和媒體老師們記不住，就這兩個吧，請回答一下。

對於這個事情，歐洲汽車行業內部相當淡定，完全沒人聊啊，因為從技術角度在車主沒有全面改裝的情況下就是基本不可能出現的事情，出現的概率應該比連中兩次2億頭等獎還小。有些人把汽車控制系統，尤其是發動機和變速箱控制系統想像的太簡單了。

關於機械問題這裡就不討論了，很多人都已經說過只要剎車機械可用在幾百米的距離內輕鬆停下，主要的焦點集中在定速巡航，發動機和變速箱控制失靈上。那麼下面就從本質上來聊聊為什麼這個事情是個超級超級小概率基本上不可能發生的事件。

要討論這個問題首先要討論的是定速巡航功能。

定速巡航功能本身並沒有什麼特殊的執行硬體，相對沒有定速巡航的車型所需要的只是一個額外的觸發，退出，以及調整目標速度的按鈕而已。（例如下圖這樣的）

所以哪怕你買車沒有選擇定速巡航的配置，你的車輛其實已經具備了定速巡航的能力，只不過車廠沒有安裝控制按鈕或者把相關的控制按鈕鎖死了而已。這個和同樣的發動機有不同的功率配置是一個道理。不是你的發動機不能做高功率輸出，只不過廠商把這個功能從「軟體標定」的角度鎖死由此做出兩款不同定價有差異的產品而已。

而定速巡航本身的控制部分非常簡單，大多是發動機控制軟體中的一部分。在你通過按鈕觸發定速巡航後，發動機控制器，就是類似下面這個（多安置在發動機倉），會從軟體角度忽略駕駛員沒有踩油門的事實，通過車速信息來自行控制發動機的扭矩輸出最終達到車速穩定在目標車速的目的。

定速巡航功能非常容易退出，比如：

手動按鈕取消定速巡航
掛空擋的時候
上面的發動機控制器發現無法跟隨車速的時候，比如下一個超級陡坡的時候，比如定速巡航不帶剎車功能的時候
當駕駛員踩剎車的時候
當發動機控制器檢測到任何錯誤的時候（包括軟體錯誤，信號丟失，接受到的信號不可信等等）

OK，上面大概解釋了定速巡航的問題，下面就來說為什麼這個事情基本就是不可能事件。

剎車，作為一個關鍵執行器（駕駛員對車輛控制的最主要輸入之一），是一個性命攸關的部件。

在車輛全面電子化電控化的今天，在設計剎車相關的安全功能的時候，我們都會把它列為最高等級。從技術角度，功能安全等級會達到最高的ASIL D。

那麼剎車除了機械工作部分，還有電子信號會發給幾乎所有主要控制器，比如上面的發動機控制器還有變速箱控制器，來告訴這些車載控制電腦駕駛員是否踩了剎車。

那麼比如在題目的情境中發動機控制器就可以來判斷是否需要退出定速巡航。

而作為ASIL D的部件以及需要提供符合ASIL D要求的輸出信號，剎車部分是有非常多冗餘的感測器設計的。

比如簡單的判斷你是否踩了剎車，就常常有兩個開關+一個剎車壓力感測器來判斷。那麼發動機就會收到三個信號：

第一個是開關信號，這個開關是長開的狀態，踩下剎車變為閉合的狀態。
第二個也是開關信號，這個開關是常閉的狀態，踩下剎車變為打開的狀態。以上兩個開關為互補的關係，互相檢查。
第三個信號是剎車壓力信號，就是駕駛員實際施加了多大的剎車壓力，剎車壓力信號和上面兩個信號再次互相檢查。

所以如果真的發動機無法判斷駕駛員是否踩了剎車，那麼就要上面三個信號一起失效。。。這本身就是個小概率事件。

那麼如果真的上面三個信號都失效了，發動機無法判斷駕駛員是否踩剎車了呢？這個簡單，參考我上面解釋過的自動巡航邏輯，一個簡單的退出條件就是：

當發動機控制器檢測到任何錯誤的時候（包括軟體錯誤，信號丟失，接受到的信號不可信等等）

當剎車信號丟失或者失效（不在正常值範圍內的時候），發動機控制器不僅會退出定速巡航，而且還有更加嚴格的措施，比如限制扭矩輸出在極小的數值。別說你停不下來了，你就是想加速都不可能了，只能靠邊停車。

那如果上面這個發動機的診斷軟體也bug了，沒有發現剎車信號出錯呢？當然這基本又是一個極小概率事件。

我們現在設計上層軟體的時候不僅會有常規的診斷軟體設計（來發現類似信號丟失這樣的錯誤），還會有第二級功能安全軟體，現在遵照的是ISO 26262的要求。

也就是我們會有另外一部分發動機控制軟體獨立於上面的診斷軟體，如果這部分軟體發現剎車信號出錯但是正常的發動機診斷軟體並沒有正確介入限制扭矩的時候，功能安全的上層軟體會獨立響應，進一步限制扭矩甚至中斷扭矩。

那麼如果上面發動機功能安全軟體也失效了呢？當然這基本又是一個極小概率事件。

以上的三層檢查：

剎車狀態檢查
剎車狀態不確定時候的診斷策略限制扭矩或者中斷扭矩
診斷沒有立刻介入情況下的更高一級功能安全軟體觸發限制扭矩或者中斷扭矩

不僅會出現在發動機控制軟體中，而且還會重複出現在變速箱控制軟體中。一旦上面的這個事情發生，哪怕發動機持續輸出大扭矩，變速箱一樣會獨立響應，大部分情況下直接斷開離合，讓發動機自己去玩。變速箱控制器和發動機控制器很像。大概長下面這個樣子，一般在座艙中控附近。

變速箱斷開，沒有扭矩傳輸到輪端，你不想慢下來都不可能。

如果你要變速箱軟體也失效，而且還是三層邏輯同時失效，這又是一個極小概率×極小概率×極小概率的情況。

所以這個事件要發生，你所要面對的是：

極小概率×極小概率×極小概率×極小概率×極小概率×極小概率×極小概率

你以為車企每年多少億的投資來研發軟體都打了水漂么？

而這個只是針對控制系統來說而不考慮機械上面可以簡單剎車停下來。

所以如果要問我對這個事情有什麼評價，如果車主沒有全面改發動機變速箱控制+電路的話，我可以以99.999999999999999999999999%的信心說：

在車主所言屬實，且c200l沒有使用博世iboost的前提下：

硬體缺陷不合邏輯，懷疑不屬實

請車主看了以後不要慫，速聯繫賓士工程師讀數據，您的情況要是屬實，是驚動整個汽車工業圈子的，興許賓士會直接獎勵一台C63給您這位「業餘賽車手」，也免得個別圍觀群眾瞎噴。

-----------------------------------------------------------------------

一：定速巡航功能在制動踏板有信號之後，必須退出，有法律法規要求。

二：若剎車踏板位置感測器失效，導致無法切換檔位，w/v205不是無機械鏈接式iBoost，只要踩制動踏板即可推動主缸和剎車助力泵，產生制動力，產生的制動力絕對能使車停下來，有法律法規要求。

三：若剎車踏板位置感測器失效，剎車助力泵也失效，用力踩制動踏板即可推動主缸，產生制動力，產生的制動力足夠使車停下來，有法律法規要求。盡評論提醒，詢問過制動系統同事後， HBB/HBC工作時可到相當高的減速度，無ESC系統介入（即無HBB/HBC），情況下，國標是50公斤踏板力要產生，2.44m/s^2,成年男性100公斤穩的。

四：若剎車踏板位置感測器失效，剎車助力泵也失效，兩套制動線路全漏油，即整套剎車系統完全失效，只有這個時候才有可能剎不下來！ -----但是結合車主失效前後依舊可以正常行駛的描述，這是矛盾的。

五：電子手剎在一定速度以上行駛中按下，若硬體制動系統正常，能產生80%的最大制動力，該邏輯由ESC系統提供，有法律法規要求。

----------------------------------------------------------------------

後台操控

對於一些車輛屬實，的確可以，對於C200L，不確定（這句修改了）

不說純線控轉向和純線控剎車，就是現在還保留機械結構的時代，有能人只需要提前在車內加裝收發裝置，就完全可以做到給EPS發送假信號從而殺人的地步。

----------------------------------------------------------------------

結論：

是否是車的問題需要讀LOG，但答主是找不出來由於定速巡航Malfunction導致車不能停下來的依據。

答主在沒有賓士工程師讀取車輛記錄，即無直接證據的情況下，是無需或者嚴謹地說，是不能證明事件本身的屬實與否，但邏輯的嚴重相悖已經可以推導出此事不屬實。

× 有法律法規要求 = 強制性要求，上市車輛必須通過相關測試，滿足法律法規性能要求，且部份需要有失效保護模式，其失效保護模式也有法律法規要求，如：按電子手剎可在制動踏板卡死的特殊失效情況下，對車輛進行緊急制動