杨福宇专栏|TESLA EV突然加速，特别是加速踏板开度100%问题的讨论~-CSDN博客

杨福宇老师多年研究CAN总线在汽车中的应用，文章非常有实用价值，为了方便汽车行业的工程师关注杨老师的研究成果，本公众号特别开设了《杨福宇专栏》，敬请期待更多精彩内容。杨老师邮箱：yfy812@163.com,欢迎交流探讨！

突然加速是很多有关TESLA EV的投诉内容，也是争议较大的点，有些车祸中当事者已去世，连亲自发声追求真相的机会都没有，任由遗留数据断案，所以数据合于逻辑的解读是关键。美国NHTSA否定246起对TESLA突然加速的投诉（INCLA-DP20001-6158.pdf）中说：“Analysis of log data shows that the accelerator pedal was applied to 85 percent or greater in 97 percent of the SUA crashes reviewed by ODI. ”（85%的投诉中踩了加速踏板），所以才会有“The data clearly point to pedal misapplication by the driver as the cause of SUA in these incidents. ”（LOG数据表明驾驶员误踩踏板是这些突然非预期加速事件的原因）。那么加速踏板会不会自己出错？这是本文重点研究的问题。

我研究了来自不同场合TESLA公布的反馈数据或结构数据，目前可归纳的突然加速现象有4种：

1）在加速踏板开度为0时软件本来是可以禁止马达供电的，由软件BUG形成突然加速。这里假设了车速信号是正确的，当车速信号不正确时见2）的情况。

加速踏板开度为0时存在车速持续上升现象，例如特斯拉安阳案48页数据文件中5.50：31.28~ 5.50：47.81其间的非预期加速。

最高达到7.5km/h（5.59：15.32）。

详细分析见“TESLA安阳案48页数据文档细读反映了故障的存在”

无法判定这类EV加速的最高速的限度是多少。类似的投诉：

特斯拉再陷“失控门”事件，高速自行加速20分钟_车家号_发现车生活_汽车之家 (autohome.com.cn)

从视频中可以看到，梁女士驾驶特斯拉Model 3行驶在隧道中，并未踩踏板，但是车辆却仍然保持加速状态。

据车主梁女士的描述：当时在其上海绕城高速，先经过了一段低速隧道，大概有3分钟出来后进入平路，限速80-100公里，后面是上坡路。期间一共行驶了20分钟，在任何路段都有自动加速的现象，而梁女士只拍了21秒。

我们与特斯拉事故车主们聊了聊发现了这家企业背后的“骚操作”_新浪财经_新浪网 (sina.com.cn)

来自广西柳州的魏女士，在提车一年后也遭遇了“失控”的事故。2021年2月24日，办完事的魏女士走出大楼，钻进自己的Model 3然后启动车辆，但没想到的是，起步刚没多久，“就像失控一样向右冲过去，直接撞击路边停靠的车辆，短短不到1分钟的时间，把我吓坏了。”

特别是最后两条数据恰恰证明即使驾驶员松开了加速踏板，车辆速度仍然在增加。

2）由车速信号错误形成突然加速。例如2021年5月18日重庆特斯拉地库撞墙事件中17分27~28秒间加速踏板有24%的开度变化而车速不变，一直是13.2km/h是不正常的。

据称TESLA提供的数据：资深汽车专业人士解读重庆特斯拉地库撞墙事故最新数据 (toutiao.com)

TESLA很难把这种现象称为正常:说加速机制失效？说加速踏板开度显示出错？说车速信号出错？这里判断为车速错误：因为这个车速不是在ESP中由当地采样到的轮速和加速度传感器形成，而是在电机控制器中算出的。在有通信故障时车速信号取原来的值作外推，它会因反馈回路断裂而引起突然加速。通信失效可以由纵向加速度信号不连续验证（TESLA尚未提供纵向加速度信号LOG数据）；若纵向加速度信号不连续，由于机器故障27秒时开始非预期加速。详见：“对2021年5月18日重庆特斯拉地库撞墙事件的分析V3”；

3）常见的TESLA反馈投诉中有加速踏板被100%踩下。故TESLA称是驾驶员踩了踏板，但驾驶员称未踩加速踏板，是车子突然加速。

例如TESLA温州案中EDR报告了连续的100%开度（其中最后4秒内有2次100%-0%的跳跃）：而驾驶员声称没有踩加速踏板。虽然EDR报告中ESP功能失效早已存在（ESP功能是驾驶员无法人工干预的），表明了车功能早已不正常，这一100%的开度来源仍是争论点。

有关分析可参见“2020年8月12日温州特斯拉失控案EDR数据的解读”

本文将讨论这种突然加速是TESLA加速踏板信号错误引起的可能性。

加速踏板信号由2个电位器硬件采样开度，形成软件生成的加速踏板开度，作为电机转速的给定值。如果软件处理后的加速踏板开度为100%，必定会突然加速。而软件处理是必须的，为了容错，因为这里有2个传感器数据一致性的判断，以及0点飘移值修正、毛刺滤除等操作。

TESLA MODEL 3 PRIVATE CAN 帧有硬件的踏板开度信号和处理后的踏板开度信号，这是黑客破解后的揭示，符合常识，TESLA可以提供它的版本辩驳：

Tesla Model S CAN Deciphering - v0.1 - by wk057

由TESLA的电路手册，MODEL3 的后电机控制器连有电位器构成的加速踏板开度传感器：

MODEL 3后电机控制器的主芯片是TI的TMS320F28377DPTRQ，加速踏板来的电位器移动触点信号将连到它的AD转换器的采样保持器。TESLA设计具体用的引脚还不知道，但是可以根据数据手册先了解引脚的一些特性。

数据手册P41/226 Table 4-2. Pins With Internal Pullup and Pulldown中未讨论ADC类引脚。

TMS320F28377D有4组ADC，它们的引脚信号经多路选择到有关的ADC中。

数据手册P42/226有信号的描述，每组ADC的通道0，1是用于ADC或DAC的，它有下拉电阻50K.其它通道则没有专门的说明，因此可理解为是没有上下拉电阻的。不能肯定TESLA的是否用通道0，1（这对下一步分析有关），但可以用进一步的实测或实验加以判断。

ADC信号的的上下电压范围由引脚VREF HIx, VREF LOx决定，由外部电路输入。

数据手册P105/226:Typical values are measured with VREFHI = 2.5 V and VREFLO = 0 V. Minimum and Maximum values are tested or characterized with VREFHI = 2.5 V and VREFLO = 0 V. 因此可知典型应用输入的上限是2.5V。

而由上述线路图可知踏板组件的供电源是5V。

数据手册P104/226有2个重要的注释：

NOTE The ADC inputs should be kept below VDDA + 0.3 V during operation. If an ADC input exceeds this level, the VREF internal to the device may be disturbed, which can impact results for other ADC or DAC inputs using the same VREF.即一个引脚上超过电源电压0.3V的输入可引起用同一VREF的其它通道转换出错。

NOTE The VREFHI pin must be kept below VDDA + 0.3 V to ensure proper functional operation. If the VREFHI pin exceeds this level, a blocking circuit may activate, and the internal value of VREFHI may float to 0 V internally, giving improper ADC conversion or DAC output.即外部设定的VREF HI也不得超过VDDA+0.3V.否则阻塞线路激活、内部实际VREF HI会浮动到0，使ADC或DAC结果出错。

从保护ADC不受外部引脚输入上的干扰而出错或器件损坏的角度，一般的实践是每个引脚有超电源电压导通的二级管保护和低于地电压导通的二极管保护。

因此，当a）由电位器组件回来的地线断时，信号输入为5V；或b)因电位器移动触点信号输入电缆连接中断时，ADC的输入将由这2个保护二极管漏电流形成的电压决定（因为没有上拉、下拉电阻），大概是2.5V，即等于输入的上限VREF HI=2.5V。它们与驾驶员是否踩加速踏板无关。

另外，TESLA的软件对于二个传感器采样的容错设计也比较简单，对于2个传感器同时输入为5V或2.5V，就判不出存在断线或浮动的故障，直接给出软件输出的踏板开度=100%，造成突然加速。例如上图CAN ID=0x0154的帧中，二个传感器的开度同时都是FA*0.4=250*0.4=100(%)。无法区别是驾驶员确是踩了100%还是传感器输入断路。所以，当接插件断路时，可能出现持续的硬件踏板开度采到100%，并在LOG与EDR记录中保持，它们与驾驶员踩不踩加速踏板毫无关系。

如果TESLA选用了ADC通道0或1，那么在电位器移动触点信号输入电缆连接中断时，加速踏板的软件开度变为0，会出现非预期的减速，有被追尾的风险。

修正的方法：对于本文分析的情况，如果二个传感器引脚分别设上拉和下拉，那么出现有一个传感器断线时，硬件开度采样值就不一致，可发现有故障；二个传感器都断线而浮动时硬件开度采样值也会不一致，也可发现故障。这涉及在二个引脚上分别增加上下拉电路，仅仅OTA修改软件无法实现。

即使能发现断线故障，安全的目标状态的确定也不是容易的事：若驾驶员原来意图是开20%，因断线而开100%，被软件判出故障后停止供电也会有突然减速被追尾的风险。当时的保守策略可能是维持故障前的开度等待人工干预，例如刹车信号。或者提供对应车非正常状态时的更高级的辅助驾驶功能。

为了确定TESLA的ADC引脚通道的选用是否存在上述突然加速的隐患，可以断开加速踏板处的接插件（或过渡接插件X950）的情况下，在不踩加速踏板下，观察车是否会自己高速起动。这是实验验证本文分析正确性的方法。如果不加速，则100%开度的来源需要进一步探讨。

之所以这样说，因为投诉的人太多（包括美国的几百个投诉者），无法简单认为所有的投诉者都是敲榨者或者粗心大意误用了加速踏板，他们的投诉虚要重视。这里必须回答对NHTSA报告的看法，我认为NHTSA的否定246例都是误用了加速踏板的报告太过粗糙。

它的P11引用的图中就有加速踏板开度大量丢帧（以PRIVATE CAN每秒100帧，LOG对最近的PRIVATE CAN 数据每0.2秒采样一次计算），-8.6~-8秒和-7.4~-6.4秒间的丢帧（一次是60帧，一次是100帧）。-6.2~-2.4秒LOG的不显示与EDR的显示0均可作二种解释：确实加速踏板开度=0或也发生了丢帧（EDR数据也来自PRIVATE CAN）。如果是丢帧，那么它会影响到-5秒开始的EPS转向助力操作，使它缺少输入信号，即异常状态的扩展。

同时它还有加速踏板开度=0时车速不降的故障现象（按文件引述【In a July 11, 2019 letter, Tesla provided the consumer with the following summary of its analysis of log data for the crash event reported in VOQ 11206155“According to the vehicle's diagnostic log, immediately prior to the incident, the accelerator pedal was released, regenerative braking was engaged and slowing the vehicle, and the steering wheel was turned to the right.】至少能量回收要引起减速），这种故障的本质及其影响必须解释清楚才可以下结论全盘否定投诉。

在该例中车速与开度的关系不符逻辑的可能原因需要故障树分析：

A1加速踏板开度信号=0错

A1.1加速踏板硬软件故障；包括电位器电源电缆松脱，时通时断

A1.2 EMI影响

A2车速信号错

A2.1 ESP的轮速未及时传送到电机控制器

A2.1.1 ESP内部故障

A2.1.2 CAN通信故障包括频繁出错、电缆松脱、时通时断

A2.2 电机控制器算法BUG

A3 未启动能量回收算法

A3.1 电机控制器软件BUG

A3.2 回收算法需要的数据未从IBOOSTER,ESP送达

A3.2.1 CAN 通信故障包括频繁出错、电缆松脱、时通时断

这些分析找到的原因可能也会造成突然加速与刹车失灵，例如A2.1.2、A3.2.1 CAN 通信故障（本文第2类突然加速与刹车失灵），A1.1引起本文第3类突然加速、第4类突然加速。而NHTSA这份报告未认为、或忽略了车速与开度的关系不符逻辑问题，便没有后续的分析，也就忽略了突然加速的情况。

第3类非预期加速的原因是连接加速踏板到电机控制器的电路断开，而这种断开一般是接插件的松动。这不是虚构而是实际存在的。

对于出故障的车，第3方事后观察到松动或不松动都难以完全肯定事中的情况。要看报修过程中车的颠波状况以及维修人员处理对松动可能的影响，但不能排除事中发生过断线，因为那有颠波形成重新接通和人工干预的机会。

由维修人员确定的修前出现接插件松动是有先例的：

特斯拉新车频现警报后续：汽车智能化冷思考_汽车_中国网 (china.com.cn)

在进行故障分析和相关系统检查的过程中，特斯拉检修人员发现EPAS线束插头针脚松脱，在完全断开该插头后，车辆故障现象是EPAS MIA方向无助力，但仍可正常启动并进入挡位。

进口特斯拉MODEL S转向系统及刹车系统失灵 - 车质网 (12365auto.com)

4）另一个可能的突然加速来自前述TMS320F28377D，数据手册P104/226的重要注释：

当不存在线路断裂浮动的情况下，因为设备原因VDDA跌落（来自电源上的干扰），或者电磁干扰使VREFHI上升，发生了VREFHI>VDDA+0.3的事件，此时内部使用的VREF HI会被阻塞而浮动到0，ADC的输出变增大。

例如踏板电位器的硬件零位输出正常时有ZERO（不等于0，以备每次上电时作0点修正），而内部使用的VREF HI的下降使硬件零位输出变为zero+10%，经软件处理后的加速踏板开度变为10%。这就成为驾驶员未踩踏板而开度增加而发生加速的事件。由于干扰持续时间不会太长，往往是脉冲现象。

也就是说，瞬间的加速踏板有开度不能反推为驾驶员踩了加速踏板。

这样的例子可见安阳案（6.14：28.17秒）中来源不明的加速，该例还反映了TESLA没能实现刹车优先：

这一现象中的加速踏板开度一般不是100%，投诉中有这种案例：

特斯拉疑自动加速酿事故车主索要后台数据为何被拒 (toutiao.com)

特斯拉Model Y行驶至成都市温江区天府街西段附近，在前后都有车辆的情况下，用侧方位倒车方式停车。在车身已基本进入车位时，特斯拉突然出现自动急加速状况。

5月8日，特斯拉成都犀浦服务中心的工作人员就告诉我，他们已经完成了车辆的检查，车辆机械部分和系统部分都没有问题，认定突然加速是我踩踏板误操作的结果。检查结算单”显示，特斯拉通过查看车辆日志分析，事发时，加速踏板位置为34.8%，事发前未见电机驱动系统、制动系统及加速踏板相关故障报警。车辆进厂后对后台数据及车辆相关部件工况进行检查，未见异常。来源：中国青年报（ 2021年05月20日 11 版）