原创 丰田车意外突然加速分析

丰田车意外突然加速分析(上）

我们又见到丰田内外受困：“日本国土交通大臣前原诚司宣布，将重新彻底调查日本国内发生的丰田车突然加速投诉案。他说，国土交通省在２００７年至２００９年间共接到１３４件有关汽车突然加速狂飙的投诉，其中涉及丰田汽车的有３８件，所占比例为２８．３％。尽管这一比例与丰田汽车２７．８％的国内市场份额基本吻合，但政府从重视产品质量的角度出发，决定重新彻底调查丰田汽车突然加速投诉案，同时也将重新审查针对其他品牌汽车的突然加速投诉案。“这表明别的车也有突然加速问题，且与车的使用量成比例，给人的感觉是存在共性的未解之谜。这种突然加速也是因脚垫引起的可能性很小，而由电子部分引起的可能性较大，因此其它厂即使未有召回令，如技术上相似，就如我2月5日博文所言，也未必有幸灾乐祸的机会。

Laurent Belsie较为详细的报道：NASA to study Toyota recall cars. Are cosmic rays the culprit? | Jayne's Celebrity Fashion News：美国交通部已请宇航局NASA参预丰田突然加速的调查，还请了科学院进行调查。NASA 有9位电气工程、电磁兼容性、软件完整性、统计分析、孤立起伏研究的有经验的工程师将和至少8位NHTSA的雇员合作。NASA的工程与安全中心自2004年哥伦布航天飞机失事以来已作了100个详尽的技术评估报告，这将是第一个有关汽车的报告。NHTSA说现在还没有一种理论在加速事件与电磁干扰之间的联系加以清楚的说明，无论干扰来自天上还是地上。我有二点感想，一、这是真正较真了，不把原因找出来是不罢休了，技术上的问题归根到底要从技术上解决。二、美国能迅速地调集全国的资源，值得我们考虑：我们能迅速作全国资源的调动吗？从上说法可知，已经有一种猜测：说宇宙射线可能是元凶：在航空电子研究中有一种对付孤立起伏(single event upset)的讨论，说宇宙射线会使电子器件行为异常；不过NASA还会考虑其它的可能性。

我看CAN的毛病引起突然加速也是有可能的，这个分析已经告诉了NHTSA：

1．丰田车的油门踏板传感器与刹车踏板传感器是接在不同的ECU上的；发动机ECU与刹车控制ECU通过CAN总线传递信号；油门开度不仅由踏板开度决定，而且也受来自CAN的其他信号控制。其他信号对开度的修正一般是减少，但若来自CAN的修正信号出现了错帧漏检，哪么与具体实现的控制方案（丰田的算法）有关，会有不同后果：

a)                  其他信号查表后与踏板信号相乘-算术处理方法。如错帧是把小信号变大，此时有可能产生突然加速；

b)                  初步处理后的修正值与踏板按最小值作选择-非线性处理方法。此时不会产生突然加速，但有的控制方案不能作最小选择；

c)                  可能不管其它信号的幅值，有已定的逻辑选择-逻辑处理方法。例如只要是由刹车来的信号，就由来的信号作取代控制，如错帧是把小信号变大，此时有可能产生突然加速；

2．车内条件很恶劣。

http://scholarsmine.mst.edu/thesis/pdf/Ren_09007dcc80487aed.pdf

FEI REN，“PERFORMANCE IMPROVEMENTS OF AUTOMOBILE COMMUNICATION PROTOCOLS IN ELECTROMAGNETIC INTERFERENCE ENVIRONMENTS”，A THESIS Presented to the Faculty of the Graduate School of the UNIVERSITY OF MISSOURI-ROLLA, 2007

实验是用继电器产生空间感应干扰，一次开关造成的干扰，平均持续时间约0.48ms，可以看到100μs内有多少干扰（图1，2）。

在带屏蔽的CAN电缆里工作时都会有干扰（图3）。

丰田车干扰电压抑制回路有点少，professor Raj Rajkumar’s blog Prof. Raj Rajkumar, Carnegie Mellon：丰田继电器部分用的抑制峰值反冲的措施比别人少，图3中见不到吸收回路。2007年Buick LaCrosse 3.6L 有14个继电器，全有电压抑制回路，6个点火线圈各有自己的抑制回路。与此对比，2007 年Toyota Camry 2.4L model 有20 个继电器，没有一个有电压抑制回路，4 个点火线圈，共用一个电压抑制回路，仅整车分散有3个电压抑制回路。分析原因是加电压抑制回路可能降低继电器的寿命，增加更换继电器的次数。如果丰田意识到不加电压抑制回路可能引起召回，我想他们也不会因小失大的。

图4 原Figure 1. 2007 Toyota Camry 2.4L Relays without Voltage Spike Suppression

3．在干扰下，CAN的错帧漏检就会出现。见我上次博文。下面再加说明：一般地说CRC生成多项式中含有（X+1）项时就可检测出任意奇数个错，可是由于CAN填充规则对CRC的影响，有时这个奇数错也是检测不出来的，可以说明CAN的CRC检验非常弱。这第3个错可以发生在7~22内任意位置。

从上例也可以看到，如果把第一个1看作CAN帧控制域(DLC)内的一位，那么代表数据的二进制值会有多少放大。突然加速就有可能。

丰田这次先后召回了780多万辆车，如果以每辆车已工作2000小时估计，死34人，其比例是很小的，2.1*10^-11/小时，极小的概率也会因总量大而放大很多。500k的can总线利用率为30%计，每小时送的帧以4*10⁶计，如果can的错帧漏检率为K,那么K*4*10⁶<2.1*10^-11,就要求K<5*10^-18,Bosch 报告的数字（J. Unruh, H.J. Mathony, K.H. Kaiser: "Error Detection Analysis of Automotive Communication Protocols". SAE Int. Congress, No. 900699, Detroit, USA, 1990）为误码率在10^-4时是10^-17，而根据我的计算，误码率为10^-4时下限是1.59*10^-12（实际上可能还要大）。如果车上的应用程序或控制方案没有考虑过这种可能性，can漏检问题造成其它应用出事后果可能不亚于现在的“突然加速”问题，例如有一个轮子突然刹车，车就可能翻。

1.59*10^-12是什么概念？北京有400万辆车,每天开2小时,就会有50辆车碰到问题(出现突然加速的比例等于对油门开度作修正的帧的流量占整个通信流量的比例，如不遇到事故扩大的条件不一定出车祸)。美国人大张旗鼓,这说明在事关人命的事上,小概率事件是不容忽略的。

4．电磁干扰下，我以前谈到的节点进入等效离线或真正离线的故障有可能发生，注意，只要一次较大的干扰就足以造成此种后果。见我上传的文章。这是典型的单点故障造成全系统失效的例子。

在此种情况下，后来的刹车信号被阻断。油门仍大开着。所以刹车优先的改进方案未必有效。

5．我说的失效情况在总线空闲时会消失，这个时间不会长，很多人可能只有冲一下的感觉，不会有后果，有人投诉了，有人根本不去投诉。

其它因素有可能使事故扩大到很长时间。例如，驾者不断踩刹车，如果由此而形成通信的峰涌流量（与车的通信系统的设计有关，要查丰田的设计，不一定有），就可能推迟离线故障的退出时间；刹车节点也离线了；长时间刹车使电磁干扰情况恶化；现场干扰一直存在；失效重复发生；

http://index.ieeexplore.ieee.org/iel5/6/21440/00993787.pdf: The effects can be quite serious: on certain highway overpasses in Europe, the engines of some vehicles have been shut off when their control units encountered high EMI levels from, among other things, high-voltage lines beneath the roadway, reported David Ladd. He is communications manager at Siemens VDO Automotive (Auburn Hills, Mich.), which operates an electromagnetic compliance testing lab. “These problems must be identified and corrected before the vehicle goes into production,” he emphasized.

高压线能使车熄火，当然也可能一直干扰通信。

6.如果丰田的CAN时钟全按ISO11898容差，余量太小（这是CAN的又一个失误），环境恶化时位时间就不对了，就会收发错，而且是重复性的：该节点经一段时间后又要参加通信，而通信又是错的。不断出的BABBLING IDIOT错使通信失效。

7．其它非CAN的因素也可能使故障扩大，例如不断刹车可能使刹车系统的能源超载，刹车就难生效。

8．由于不能通信，检测仪器收不到出错信号；上述故障并未被认识到，当然也不会有故障代码及其记录。

《丰田车意外突然加速分析（下）》