杨福宇专栏|TESLA MODEL 3的CAN网络弱点
杨福宇老师多年研究CAN总线在汽车中的应用,文章非常有实用价值,为了方便汽车行业的工程师关注杨老师的研究成果,本公众号特别开设了《杨福宇专栏》,敬请期待更多精彩内容。杨老师邮箱:[email protected],欢迎交流探讨!
2021-2-21河南安阳TESLA刹车失灵案LOG记录如下:
刹车段共计44段,其中出现油压丢帧(ESP丢帧)的有32段,每次最大丢帧数为218帧(每帧10ms时);出现车速丢帧的有3段,最大丢帧持续时间为3.8秒(相当于380帧);出现未能被刹车减小的未预期加速10段,最大速度达到5km/h。非预期加速是刹不住车的一种。
非刹车段共计40段(部份非刹车段很短未计入),其中加速踏板丢帧有20段,最长丢帧时间为5秒(相当于500帧);车速丢帧19段,最长丢帧时间为6.5秒(相当于650帧);未踩加速踏板时的非预期加速2段,最大非预期加速达到的车速为7.5km/h。这里非预期加速是常说的突然加速。
分析TESLA失控的各投诉实例时,其通信失效的可能性是不能排除的。上图中大量丢帧便是通信故障的例子(一直丢便是通信失效了)。但是,CAN在汽车上的应用已有30年的历史,难道真的对干扰可能更大的电动车就有问题了?为此,首先要关心一下TESLA是怎么使用CAN总线的。
1. TESLA为了提高印刷板上的安装密度,便采用了较多插脚的接插件,例如前车身控中(https://zhuanlan.zhihu.com/p/108892577)PRIVATE CAN 的引脚便是安排在有52个引脚的接插件J1中,插头部分有密集的线头安装,不得不使双绞线解开部分较长。
特斯拉Model 3的线束设计点评中的照片如下:
这是与常规CAN线缆的要求是不符的:
解绞距离在国际标准中并无规定,国内行业标准 QC/T29106-2014《汽车电线束技术条件》中规定:开绞距离应不大于 80mm。见图 4。而美标 SAE 1939 中对 CAN 线双绞线的规定是:未绞合尺寸也不应超过 50mm。所以国内行标的规定对于 CAN 线来说尺寸较大,并不适用。目前各车企或线束厂对于高速 CAN 线的解绞距离限定在 50mm 或 40mm 以内,以保证 CAN 信号的稳定性。例如德尔福的 CAN 总线要求解绞距离为小于 40mm。
2. TESLA在线缆上的简化,取了双绞线不等长
TESLA的刹车、转向的安全攸关的通信在PRIVATE CAN中进行,其网络用的双绞线标号为CPT01,CPT01分为多段,子段用A-Q编号。
不等长的差额部分接收到来自空间的辐射干扰将在CANH,CANL中形成迭加的干扰电压,使通信的信号质量下降,通信容易出错,包括错帧漏检。
其中ESP连到中心Z2,后电机控制器连到中心Z8,从ESP到后电机控的CANH,CANL双绞线的长度累计差263(CPT01-N)-895(CPT01-L)-143(CPTO1-K )-143(CPT01-G)+0(CPT01-D)=-918mm。这是由ESP发出的轮速、加速度传感器信号到后电机控重构车速信号的路径。近1米的长度差收到干扰的可能性极大。而轮速、加速度传感器信号的丢失使车速信号重构失败,会使反馈信号断路,形成突然加速或减速。
3 .TESLA为了减少线缆重量和成本,线缆截面积减小
在TESLA PRIVATE CAN 的各CPT01双绞线中,除了ESP用的CPT01-N以及EDR用的CPT01-H的双绞线采用的是截面积为0.35mm2外,其余均为0.13mm2。高频信号有趋肤效应,线的截面积减少使特征阻抗变化,总线上的损耗变大,干扰影响增大,对CAN的频带要求是不利的。
CANH和CANL要紧密地绞在一起,通常双绞线只有33绞/米,而在强干扰场合,双绞程度要到45-55绞/米才能达到较好的抗干扰效果。另外线缆的芯截面积要大于0.35~0.5mm²,CAN_H对CAN_L的线间电容小于75pF/m,如果采用屏蔽双绞线,CAN_H(或CAN_L)对屏蔽层的电容小于110pF/m。可以更好地降低线缆阻抗,从而降低干扰时抖动电压的幅度。
4 .TESLA 为了减少线缆长度,MODEL 3的PRIVATE CAN 采用了树形拓朴
分叉点处本来就是特征阻抗不连续之处,阻抗不连续就会引起信号的衰减和反射。常规CAN总线拓朴时也有分支,为减少分支的阻抗影响,就要求分支尽量短,例如小于30cm。但是在树形拓朴中,分支非常长,TESLA的树形拓朴有3个分叉点Z3、Z2和Z8。以Z8分叉点为例,到左车身控为1455mm,到后电机控为3153mm,到EDR为735mm,到右车身控为3039mm,到上一分叉点Z2为2808mm。在后电机控处有终端电阻120欧,其余处均无。理论上,后电机控处不会有反射,但由于导线截面为0.13mm2而特征阻抗非120欧,所以实际上是仍有反射的,其余节点处均有较长时间的来回反射,不同节点存在不同的的收发关系。例如一个节点的输出达到4个分叉时总线阻抗降为1/4,信号幅值降为1/5(由2v变为0.4v),要经过分叉的终点反射回来再会升高到超过CAN的稳定阈值(0.9v)才能保证接收节点有“0”输出,收发器的切换点在0.7v左右,而在过渡中间的波动可能有多次0-1跳动。使CAN位宽度的抖动较大,这也会影响接收的CAN信号质量。
CAN网络物理层的弱点在同样干扰的条件下,理论上会转化为误码率的升高。(尚未有这方面的实证比较研究结果的报导)。
而帧出错的概率与误码率成正比关系。帧出错会有多种结果,从CAN协议本身的安全隐患方面讲有4条:1错帧漏检;2等效离线;3全局数据不一致;4位时间错而进一步扩大为其它错。这里不介绍具体内容。与本文有直接关系的是出错时间的长短。出错时间的长短与出错重发次数、数据刷新周期、等效离线状况等有关。
在TESLA失控投诉方面最多的是“刹车失灵”和“突然加速”。由于不提供刹车踏板开度LOG数据,还没有IBOOSTER丢帧的统计,难作进一步的分析。
TESLA的刹车系统功能是用BOSCH的IBOOSTER和ESP hev实现的。
若ESP hev认为IBOOSTER有故障,而ESP hev仍然要最大限度保留根据当时轮速信号和故障前的刹车踏板开度执行ABS防抱死功能,以及根据转向角、角加速度、轮速车速等的车身稳定功能ESC。
在CAN连续出错后ESP认为IBOOSTER有故障而接手刹车的功能,此时封闭了油路(下图中的isolation阀),使刹车踏板踩不下去。(参见我的分析:TESLA刹车失灵可能的原因与验证V1),IBOOSTER的电机处于卡死状态,其电流大大上升,满足了IBOOSTER的第一种功能安全设计的触发条件,IBOOSTER将发出故障条件满足、要求ESP hev接手刹车功能的帧,这个信息在CAN通信恢复后到达ESP hev。代替通信出错时ESP hev接手的条件,使油路仍然处于封闭。这就是一种死锁状态。
CAN通信出错引起ESP hev 接手的概率取决于网络抗干扰的能力,由上可见TESLA在CAN网络这方面是比较弱的,同样干扰条件下,它的误码率会高一些。用于IBOOSTER通信的帧周期是10ms,如果二次帧周期收不到,在车速100km/h=27.7m/s=0.27m/10ms时,相当于刹车距离再增加0.5m,显然已是容许的极限了。如果每次发送容许出错重发1次(出错重发次数太多会增加总线负载,使调度结果分析失效),那么就相当于4次帧传送错就会引起ESP hev判IBOOSTER出错,接手刹车控制,封死油路,加上死锁机制,短时的通信错转为较长时间的故障,引起刹车踏不下去的后果,即刹车失灵。
以误码率高1倍计算,可以推算出刹车失灵的概率要大24=16倍。
IBOOSTER丢帧时刹车强度的信息就缺失,车子能做的就是使能量回收的刹车功能最大化。可是能量回收造成的减速受电机变为发电机时的最大功率限制,即单位时间吸收的功率是常数,也就是车的动能减少量是常数,初始车速越高,车速的减量越小。也就是讲用能量回收最大化解决不了ibooster丢帧形成的刹车失灵。
TESLA的车速计算设计薄弱,在有通信故障时会由反馈回路断裂而引起突然加速(参见我的“对2021年5月18日重庆特斯拉地库撞墙事件的分析V3”),同样也会使突然加速的故障率增大。
注意:一定条件下,CAN的等效离线故障同样会引起20ms的发送帧的通信中断,而且使该节点也不能接收帧,比仅仅发帧中出错还严重,所以改进CAN也是需要的。
对干扰的敏感性越大,事故的出现率就越高,还会有重复性。下二例与我见到的多年前国外报道有类似性:
丛女士2019年12月在杭州万象城特斯拉展厅,花了40万元左右买了一辆特斯拉进口Model3。据她说,购车当月,该车累计行驶里程约一千公里时,便多次出现行驶途中车辆自动加速的情况,“当时的刹车是硬的,无法正常踩下去。”
丛女士还提到,她在杭州钱江新城某小区停车场,每次开特斯拉进这个停车场时,这辆车都会自然加速,她问了邻居其他的新能源车是否也存在这样的问题,得到的回复是否定的,没有别的车出现过类似突然加速的情况。
2021年6月22日 近日,有网友投诉,自己在驾驶特斯拉时,在自适应巡航阶段,车辆突然加速,同一路段已发生过4次自动加速状况。
这是我十年前读的更早(2002年)发表的综述,那时CAN标准还是刚被各车厂接受。文章讲到了随着电子系统的渗入的种种问题,例如总线会引起全车的大规模失效;软件的BUG;硬件要求的提高;传感器环境高温可能要引入水冷等等。当时人们已经看到的问题后来都发生了。其中有个EMI电磁干扰问题我摘录如下:
Nor is that all. More electronics means more risk from externally generated electromagnetic interference (EMI) and from EMI generated by systems in the vehicle that are adjacent or interconnected. The effects can be quite serious: on certain highway overpasses in Europe, the engines of some vehicles have been shut off when their control units encountered high EMI levels from, among other things, high-voltage lines beneath the roadway, reported David Ladd. He is communications manager at Siemens VDO Automotive (Auburn Hills, Mich.), which operates an electromagnetic compliance testing lab. “These problems must be identified and corrected before the vehicle goes into production,” he emphasized.
(西门子自动化管电磁合规测试实验室的通信部经理David Ladd报告说,电磁干扰的影响是很严重的,在欧洲有些高速公路跨线段,由于路下高压线的高EMI,有些车的引擎控制单元受影响而使引擎关断。----20年前就已经有高速公路上突然停车的后果!)
对照上述杭州丛女士遇到的情况,很可能是环境的干扰大,TESLA 的CAN 受到了干扰,由于设计上的“省钱”,不周全而引起出突然加速比别人多。
从上分析,很多人引用TESLA线束减短好处的宣传时,尚未提到它的副作用。安全必竟是第一位的,象TESLA这么做到底值不值,这是国产车厂应该更深入研究的问题。
1.看明白了CAN的错帧漏检,车厂就不能敷衍你了!
2.改进CAN是MCU厂商送给自己汽车客户的礼物!
3.杨福宇专栏|寻找可超车的弯道:伟人讲破字当头,立也在其中了
4.杨福宇专栏|Tesla为什么会突然加速?
5.杨福宇专栏|特斯拉突然加速与刹车失灵的可能原因探讨!
6.杨福宇专栏|温州特斯拉失控案EDR数据的深度解读
7.杨福宇专栏|2021年5月18日重庆特斯拉地库撞墙事件的技术分析~
8.杨福宇专栏|TESLA刹车失灵可能的原因与验证~
9.杨福宇专栏|细读特斯拉安阳案48页数据文档,了解故障的存在~
10.杨福宇专栏|TESLA EV突然加速,特别是加速踏板开度100%问题的讨论~
