2021.4.23日更新

感謝大家的支持和互動(dòng)，因?yàn)檫@篇文章當(dāng)時(shí)寫的很匆忙，難免有一些錯(cuò)誤。特此寫出更準(zhǔn)確的分析報(bào)告，請(qǐng)移步觀看

隨著國(guó)內(nèi)特斯拉汽車銷量的激增，越來越多的車主購(gòu)買特斯拉?？梢郧宄仡A(yù)見，事故發(fā)生的頻率也會(huì)增加。

這是正?，F(xiàn)象，但隨著媒體（如知乎）曝光的特斯拉事故越來越多，一大群人開始驚呼特斯拉不安全。原本好奇的想了解一下特斯拉的一些故障和設(shè)計(jì)缺陷，但發(fā)現(xiàn)的大部分結(jié)果都是一些無厘頭的分析。

作為機(jī)電專業(yè)的畢業(yè)生，我自然不喜歡那些違背科學(xué)和道德的無腦黑人。這簡(jiǎn)直是??對(duì)機(jī)電工程人智商的侮辱。

所以想了想，還是寫了一篇關(guān)于特斯拉剎車系統(tǒng)的分析文章，來科學(xué)客觀地分析特斯拉剎車系統(tǒng)的安全性，以及那些事故發(fā)生的原因。當(dāng)然，也歡迎各海軍勢(shì)力前來開黑，讓我知道該擋誰擋誰。

首先不難找到特斯拉制動(dòng)系統(tǒng)的相關(guān)資料，它采用了博世的iBooster制動(dòng)系統(tǒng)。相關(guān)信息鏈接如下：

其次說一下特斯拉的整個(gè)剎車系統(tǒng)和邏輯

制動(dòng)系統(tǒng)的一般結(jié)構(gòu)如下

第一個(gè)閉環(huán)系統(tǒng)形成在制動(dòng)踏板和iBooster制動(dòng)系統(tǒng)之間。由于踏板行程監(jiān)測(cè)位于iBooster系統(tǒng)中，當(dāng)iBooster系統(tǒng)檢測(cè)到踩下制動(dòng)踏板時(shí)，會(huì)進(jìn)行相應(yīng)的輔助，驅(qū)動(dòng)ABS系統(tǒng)進(jìn)行制動(dòng)。第二個(gè)閉環(huán)系統(tǒng)在MCU和iBooster之間，主要用于自動(dòng)駕駛相關(guān)的制動(dòng)輔助（自動(dòng)緊急制動(dòng)和減速制動(dòng)）。三是開路系統(tǒng)，即制動(dòng)踏板和MCU可以同時(shí)作用于iBooster進(jìn)行制動(dòng)操作。此時(shí)，將按照人控優(yōu)先的原則執(zhí)行。能量回收通過MCU給iBooster，與剎車踏板無關(guān)。

那么從系統(tǒng)本身（不考慮其他系統(tǒng)的影響），可以保證安全性：

1是安裝螺栓，

2是踏板行程傳感器，

3是油罐（儲(chǔ)油罐），

4是制動(dòng)主缸（為車輪上的制動(dòng)器提供壓力），

5是電機(jī)和控制器，

6是輸入桿

根據(jù)相關(guān)資料，如果系統(tǒng)出現(xiàn)故障：

1、如果車載電源不能滿載運(yùn)行，iBooster會(huì)進(jìn)入節(jié)能模式，避免給車載電氣系統(tǒng)增加不必要的負(fù)載，防止車載電源出現(xiàn)故障。

2、iBooster 故障，ESP 接管并提供制動(dòng)助力。（ESP與ABS不同汽車的剎車系統(tǒng)有哪些，ABS需要踏板輸入才能工作，ESP無需踏板輸入也能工作。）

在這兩種情況下，制動(dòng)系統(tǒng)都可以在 200 N 的踏板力下提供 0.4g 的減速度。

如果發(fā)生系統(tǒng)故障（板載電源故障，無法供電）：

也就是說，在斷電模式下，駕駛員可以在沒有制動(dòng)輔助的情況下以純液壓模式對(duì)所有四個(gè)車輪施加車輪制動(dòng)，以使車輛安全停止。（這與傳統(tǒng)的真空助力器故障相同。）

另一方面，采用iBooster制動(dòng)系統(tǒng)的車輛不僅有特斯拉，還有保時(shí)捷918、凱迪拉克CT6、雪佛蘭Bolt、Volt、本田CR-V、榮威Ei5、比亞迪e6、蔚來ES8等。

由此可見，系統(tǒng)的可靠性應(yīng)該沒有問題。

再來說說油門和剎車信號(hào)錯(cuò)誤的可能性

有人會(huì)說，如果特斯拉車載系統(tǒng)誤將剎車信號(hào)作為油門信號(hào)傳遞給控制系統(tǒng)，會(huì)導(dǎo)致車輛加速，剎車失效。

第一個(gè)結(jié)論是完全不可能

為什么：

雖然查了很多資料，沒有對(duì)特斯拉電控系統(tǒng)的完整結(jié)構(gòu)描述，但根據(jù)相關(guān)汽車拆解資料和機(jī)電設(shè)計(jì)原理，我們可以大致了解特斯拉的控制系統(tǒng)設(shè)計(jì)。原理如下圖所示：

之前的資料已經(jīng)說明，制動(dòng)踏板的信號(hào)采集是集成在iBooster中的，并不直接交給中央控制器。因此，制動(dòng)系統(tǒng)可以繞過中央控制系統(tǒng)，直接執(zhí)行制動(dòng)操作。

根據(jù)原理，油門踏板行程傳感器應(yīng)直接與電機(jī)驅(qū)動(dòng)控制系統(tǒng)相連，或先通過中控系統(tǒng)MCU，再向電機(jī)驅(qū)動(dòng)控制系統(tǒng)發(fā)出信號(hào)。

以上兩種方法都可以，但第一種肯定是最有可能的。雖然上述部件都是特斯拉自己研發(fā)的，但從結(jié)構(gòu)安全的角度來看，將油門踏板傳感器直接與電機(jī)驅(qū)動(dòng)控制系統(tǒng)連接更為合理。

所以無論怎么連接，加速信號(hào)和剎車信號(hào)都不能走同一條路徑。也就是說，油門信號(hào)和制動(dòng)系統(tǒng)不能同時(shí)直接發(fā)送到中央處理器MCU，至少制動(dòng)系統(tǒng)可以獨(dú)立。

那么我們來分析幾種可能性：

首先，iBooster 不關(guān)心加速信號(hào)，它只負(fù)責(zé)制動(dòng)和能量回收。如果接收到制動(dòng)信號(hào)，則必須激活制動(dòng)器。當(dāng) MCU 收到來自 iBooster 的制動(dòng)信號(hào)時(shí)，必須執(zhí)行制動(dòng)優(yōu)先原則，停止驅(qū)動(dòng)器的加速。

如果 iBooster 無法正常向 MCU 提供制動(dòng)信號(hào)，可能是加速和制動(dòng)同時(shí)工作。MCU無法為iBooster提供能量回收控制信號(hào)（電機(jī)只會(huì)工作在能量回收和加速狀態(tài)之一），因人為操作優(yōu)先。那么制動(dòng)系統(tǒng)肯定會(huì)正常工作。

所以最壞的可能就是邊加速邊剎車，會(huì)出現(xiàn)非常明顯的剎車系統(tǒng)過熱現(xiàn)象（因?yàn)锳BS系統(tǒng)負(fù)責(zé)剎車，而加速是驅(qū)動(dòng)軸負(fù)責(zé)，作用在車輪上）同時(shí)），但不會(huì)有明顯的剎車痕跡。. 從剎車盤的溫度可以判斷是否存在這種故障。

許多汽車黑客利用這種可能性來否認(rèn)特斯拉自動(dòng)駕駛系統(tǒng)的安全性。那么，原則上，我們將這個(gè)錯(cuò)誤分解為幾個(gè)實(shí)際可能的結(jié)果

如果不踩剎車，iBooster會(huì)誤將剎車信號(hào)發(fā)送給MCU，MCU誤判斷剎車信號(hào)變成加速信號(hào)，執(zhí)行加速。

第一種可能性的概率肯定小于百萬分之一（同一個(gè)系統(tǒng)中的多個(gè)節(jié)點(diǎn)同時(shí)出錯(cuò)），第二個(gè)MCU不可能接受來自iBooster系統(tǒng)的信號(hào)并將其傳輸?shù)诫姍C(jī)驅(qū)動(dòng)控制系統(tǒng)。

踩剎車，iBooster向MCU提供剎車信號(hào)，MCU將剎車信號(hào)誤判為加速信號(hào)，執(zhí)行加速。

這是不可能的，因?yàn)?iBooster 提供的信號(hào)和 booster 提供的通道是相互獨(dú)立的。iBooster 系統(tǒng)只向 MCU 提供剎車信號(hào)，不可能有加速信號(hào)。因此，單片機(jī)不可能只考慮發(fā)送信號(hào)的值，還考慮數(shù)據(jù)是從哪個(gè)通道發(fā)送過來的。顯然，iBooster 系統(tǒng)不可能發(fā)送加速度信號(hào)，因此無法接受 iBooster 設(shè)計(jì)提供加速度信號(hào)的可能性。

上述方法中，只要踩下剎車，iBooster就會(huì)正常判斷信號(hào)，肯定會(huì)進(jìn)行剎車操作。無論單片機(jī)是否正確識(shí)別信號(hào)，首先要保證制動(dòng)系統(tǒng)的正常工作。也就是說，即使MCU解析信號(hào)錯(cuò)誤，最壞的結(jié)果是加速和剎車同時(shí)執(zhí)行，不會(huì)出現(xiàn)只加速不剎車的問題。

這種可能性比較普遍。如果你喜歡關(guān)注車禍，大量相關(guān)事故視頻（比如A站有一個(gè)交通事故視頻，這個(gè)up主基本每天更新，提供地址：如果你是認(rèn)真的，你會(huì)輸(?ω?)ノ-(゜-゜)つロ）

這可能性有多大？我沒有找到任何國(guó)內(nèi)數(shù)據(jù)，只有一些不一定準(zhǔn)確的數(shù)據(jù)：

據(jù)美國(guó)2015年統(tǒng)計(jì)，其境內(nèi)每年平均發(fā)生1.6萬起油門踏板意外事故。據(jù)統(tǒng)計(jì)，2011年日本平均發(fā)生油門踏板事故7000起，死亡1萬人。按照這個(gè)計(jì)算，每天可能有300多人死于誤踩油門的事故。

如果剎車時(shí)油門出現(xiàn)問題，特斯拉的自動(dòng)緊急制動(dòng)系統(tǒng)會(huì)起作用嗎？

對(duì)不起，如果你猛踩油門，神不能阻止它，所以特斯拉的自動(dòng)緊急制動(dòng)系統(tǒng)不起作用

以上是特斯拉手冊(cè)的節(jié)選

也就是說，無論車速多少，只要踩下油門，自動(dòng)緊急制動(dòng)系統(tǒng)肯定不會(huì)起作用。也就是說，無論是原地起步還是減速，如果不小心踩了油門當(dāng)剎車，結(jié)果肯定會(huì)和其他車輛一樣。

那么為什么自動(dòng)緊急制動(dòng)不干預(yù)這種危險(xiǎn)行為呢？

原因是人的操作比車輛的自動(dòng)操作具有更高的優(yōu)先級(jí)，即車輛自動(dòng)制動(dòng)時(shí)，如果你猛踩油門，它肯定會(huì)向前行駛；當(dāng)車輛自動(dòng)加速時(shí)，如果剎車，車輛肯定會(huì)急劇減速。

為什么要這樣設(shè)計(jì)？

根據(jù)交通法規(guī)，駕駛車輛的責(zé)任由車輛駕駛員承擔(dān)。根據(jù)誰負(fù)責(zé)的基本邏輯，可以肯定的是，駕駛員的操作比自動(dòng)操作具有更高的優(yōu)先級(jí)。

另一個(gè)原因，如果你了解產(chǎn)品設(shè)計(jì)，你應(yīng)該知道路徑依賴的基本原理。自動(dòng)駕駛控制邏輯繼承自飛行器上的自動(dòng)駕駛。

根據(jù)最近在中國(guó)發(fā)生的一些特斯拉汽車事故，有一些結(jié)論可以說是負(fù)責(zé)任的。關(guān)于制動(dòng)系統(tǒng)的安全性汽車的剎車系統(tǒng)有哪些，通常第三方可以檢測(cè)是否存在故障。與其像一些人說的那樣需要特斯拉提供，而是給了特斯拉一個(gè)推卸責(zé)任的機(jī)會(huì)。

因?yàn)橹苿?dòng)系統(tǒng)可以獨(dú)立工作，只要檢查制動(dòng)踏板，iBooster系統(tǒng)的踏板行程傳感器是否準(zhǔn)確，iBooster系統(tǒng)工作是否正常，ABS系統(tǒng)是否正常。不要管單片機(jī)是否給iBooster信號(hào)，反正它不會(huì)給加速信號(hào)，也不會(huì)放棄剎車信號(hào)。

最后，有點(diǎn)題外話：

特斯拉Autopilot有沒有可能突然加速？AP有復(fù)雜的安全冗余設(shè)計(jì)來限制自動(dòng)加速的功率輸出的可能性很小

特斯拉 Autopilot 是否在沒有警告、沒有危險(xiǎn)的情況下突然剎車？有

特斯拉 Autopilot 是否可以不用手動(dòng)啟動(dòng)自動(dòng)啟動(dòng)？不，只有意外的觸摸不會(huì)自行啟動(dòng)

特斯拉 Autopilot 是否有可能沒有發(fā)現(xiàn)障礙物并撞到它？有

會(huì)不會(huì)是特斯拉自動(dòng)駕駛時(shí)腳剎失效？除非 iBooster 出現(xiàn)機(jī)械故障（例如，彈簧卡住無法踩到）

特斯拉 Autopilot 有沒有可能在鬧市區(qū)（比如人滿為患、車子等障礙物）突然加速？這幾乎是不可能的。為了科學(xué)嚴(yán)謹(jǐn)，它幾乎等于 99.999999%。鬧市區(qū)障礙重重，識(shí)別系統(tǒng)會(huì)不會(huì)全出錯(cuò)？此外，當(dāng)達(dá)到擁堵程度時(shí)，識(shí)別系統(tǒng)甚至無法識(shí)別車道線，根本無法啟動(dòng)自動(dòng)駕駛。

此外，不要將電影和電視節(jié)目作為了解汽車的來源。無論是哪個(gè)國(guó)家的影視劇，無論是汽車拋錨、事故發(fā)生，還是激烈駕駛，都沒有1%的幾率符合科學(xué)。文藝作品中的交通事故符合劇本的要求，而不是科學(xué)的原則。