文/李彥夫 孫亮亮

日前，特斯拉汽車（北京）有限公司、特斯拉（上海）有限公司根據《缺陷汽車產品召回管理條例》和《缺陷汽車產品召回管理條例實施辦法》的要求，向國家市場監督管理總局備案了召回計劃，決定自即日起召回以下車輛：其中包括生產日期在2013年9月25日至2020年11月21日期間的部分進口Model S、Model X電動汽車，共計67698輛。

本次召回範圍內的部分車輛由於軟體問題，可能出現動力電池電壓感測迴路反饋電壓與電磚真實電壓不一致，導致電池管理系統誤判，車輛螢幕顯示“需要維修”、“安全停靠車輛”等警示，車輛會逐步停止動力輸出，極端情況下可能增加車輛發生碰撞事故的風險，存在安全隱患。

圖 1 特斯拉汽車（北京）有限公司所在地華貿大廈一層的特斯拉專賣店

特斯拉汽車（北京）有限公司表示，將透過汽車遠端升級（OTA）技術，為召回範圍內的車輛免費升級軟體，升級後的車輛增加了感測迴路電壓誤報的判斷能力，在極端情況下如果在行駛過程中檢測到電壓感測迴路異常，車輛會保持持續的動力輸出直到當前駕駛迴圈結束並駐車，建議使用者按照車機提示將車輛駕駛至安全位置或靠邊停車。對於無法透過汽車遠端升級（OTA）技術實施召回的車輛，特斯拉汽車（北京）有限公司將透過特斯拉服務中心聯絡相關使用者，為車輛免費升級軟體，以消除安全隱患（引用1）。

初步研判：BMS某個判斷迴路設計存在缺陷

在此次召回中，雖然我們看不到特斯拉官方披露的電池管理系統（BMS）結構圖和具體程式碼，但是根據國家市場監管總局缺陷產品管理中心官網釋出的資訊，以及國際權威期刊（Journal of Power Sources）發表的文章中的特斯拉BMS系統示意圖（見圖2），我們可以做出一個大致的判斷：那就是BMS中，某個判斷迴路設計存在缺陷，這就相當於軟體工程中，在控制器和執行器之間的反饋訊號通路上存在問題。

圖 2 特斯拉電池管理系統示意圖（引用2）

回放該批次召回車輛螢幕顯示“需要維修”、“安全停靠車輛”等警示場景，我們據此初步研判，根據特斯拉該BMS系統最初的設計思想，應該是由控制器直接下達指令給執行器，但是，由於沒有設計任何管控機制，從而有可能造成“出現動力電池電壓感測迴路反饋電壓與電磚真實電壓不一致，導致電池管理系統誤判”這種情況，也就是在汽車的動力電池還處於健康狀態下的時候，系統仍然有可能會發生誤判，認為某塊電磚存在故障。隨即，“車輛螢幕顯示‘需要維修’、‘安全停靠車輛’等警示，車輛會逐步停止動力輸出”。其實際的響應方式是，直接切斷車輛的動力，車輛會在駕駛員沒有制動的情況下迅速減速，直至停車。

可以說，這種響應設計是非常危險的：如果當時駕駛員正常行駛在高速路面上，同時，高速路上車流量較大，此刻若發生了BMS對電池健康狀況的誤判，就必然造成車輛的緊急減速。也即“極端情況下可能增加車輛發生碰撞事故的風險，存在安全隱患”。

圖 3 特斯拉進駐中國境內多家大型商場

特斯拉的解決方案：BMS軟體升級

我們再看看特斯拉對此問題提出的解決方案：透過OTA給BMS軟體升級，以增強檢測電壓感測迴路的能力。這個升級有可能是增加檢測電壓感測迴路，或者增加從執行器到控制器的訊號反饋迴路。

從系統可靠性理論的角度來看，這樣就為“感測迴路電壓”功能增加了資料冗餘，讓BMS對電磚的健康狀態進行更為準確的判斷，監測汽車的動力電池是否真的有問題，減少誤判。

在此基礎之上，特斯拉對與之相關的後續響應也進行了改善，也就是說OTA以前，當BMS系統發現電池有問題，它會馬上切斷車輛的供電，導致車輛迅速停車；OTA後，當BMS系統發現電池有問題，則不會切斷車輛的供電，而是立刻向司機發出警示，提醒司機根據實際路況進行停車檢查。這樣一來，整體的交通安全就得到了更有效的保障。

由此引出的思考：亟待建立第三方軟體安全評估機制

透過這一案例，我們還可以做進一步的思考，比如消費者看到特斯拉BMS問題也許會發出質疑：為何此類設計上的缺陷會出現在批准量產的汽車上？為什麼該缺陷沒有被及時發現並整改？

針對這個疑問，我們可以從質量監管的角度來分析，就是我國尚未啟動與汽車軟體安全相關的第三方評估機制。我們應該透過設立一箇中立的、專業的汽車軟體設計評價機構，對此類安全相關的軟體設計進行評價，從而補上這個缺口。雖然現在各家主機廠的BMS資料都會按照GB/T32960《電動汽車遠端服務與管理系統技術規範》，透過實施監測系統（RTM）統一上傳到工信部指定的資料庫中，並進行實時監管，但是，像特斯拉此次召回事件中所暴露出的設計缺陷，此前並沒有第三方對它進行過技術上的評審。特斯拉透過此次召回，確實能夠對設計上的缺陷進行最佳化，實現軟體功能從理想化到現實化的跨越。

但實際上，我們也許可以借鑑傳統油車的設計經驗，來更好地為電動車的發展助力。比如，德國大眾汽車的經驗，當車輛的動力管理系統監測到問題的時候，它並不會直接給車輛切斷動力，而是根據車輛自身各種功能的優先等級，按照由低到高的順序，逐級切斷這些功能的動力供應。

當我們在與德國汽車專家交流的時候，這一設計經驗給我們留下了非常深的印象。比如當我們在討論電臺廣播/無線通訊功能和空調功能的優先等級高低時，我們往往認為電臺廣播/無線通訊功能一定是高於空調功能的；但是，德國的汽車專家告訴我們，空調的優先等級排在電臺廣播/無線通訊前面。

雖然電臺廣播/無線通訊可以提供實時的通訊訊號，但實際上，當動力存在問題時，油車的動力控制系統會首先切斷電臺廣播/無線通訊功能，而空調功能的電源供應仍然得到保障。這是因為在炎熱或極寒的環境下，空調功能是否能夠正常工作，直接關係到駕駛員的人身安全。其設計思路是：將保障人身安全作為汽車動力供應優先等級排列的設定標準。

所以，當新能源汽車考慮動力管理問題時，是否能夠從傳統油車的設計理念中得到啟發，對其有所借鑑。事實證明，很遺憾特斯拉沒能吸收傳統油車的成功經驗，以保障人身安全作為BMS軟體設計的出發點。

此外，特斯拉的此次召回還暴露了一個問題：特斯拉召回的車輛，其生產日期最早能追溯到2013年9月25日，約九年時間已經過去了。在這段時間裡，無論是特斯拉內部的設計團隊，還是外部機構，都未能及時發現並敦促特斯拉對該設計漏洞進行改善。

綜上可見，在當今汽車電動化、網聯化、智慧化、共享化的“新四化”時代，我國汽車市場亟需成立一批兼具專業性和權威性且足夠中立的評估檢測與科研機構，針對各項新興技術在現實場景中的潛在設計缺陷與應用安全隱患，開展橫向調研評估工作、專業性檢測工作，以及基於國際頂尖技術的前瞻性研究工作。

（作者單位：清華大學質量與可靠性研究院 清華大學工業工程系）

引用1：https：//dpac。samr。gov。cn/qczh/gnzhqc/202211/t20221125_108053。html

引用2：M。 Ragone et。 al。， Data driven estimation of electric vehicle battery state-of-charge informed by automotive simulations and multi-physics modeling， Journal of Power Sources， Volume 483， 2021， 229108， ISSN 0378-7753， https：//doi。org/10。1016/j。jpowsour。2020。229108。