作者简介:一个kebab,欧洲新能源汽车软件研发团队主管。
今年在新能源领域,大家讨论得最多的一个话题就是:新能源车补贴退坡、合资品牌开始推纯电,会为新能源市场带来哪些改变?以及围绕这个话题的一些相关问题,比如:自主品牌和合资/外资品牌还有技术和品质差异么?尤其是自主品牌有了独立技术后,外资/合资未来还会有优势么?今天我就来谈谈个人对这些问题的看法。
实际上,合资品牌一直都没闲着,虽然自主品牌在传统燃油车三大件和新能源三电基础上迎头赶上,但是合资品牌仍将在未来很长的一段时间,至少是5-10年,继续大幅领先在「流程和规范/法规的制定和执行」上。
早在8年前,当国内外还没有一份完整可用的汽车高压安全标准的时候,德国汽车行业就已经通用了一本未出版的小册子,用来在德国汽车行业内部规范高压安全设计标准。
最近这几年比较火的几个标准和规范,从ASPICE(Automotive Software Process Improvement and Capability Determination),功能安全ISO 26262,到AUTOSAR (AUTomotive Open System ARchitecture),都是从欧美几个大厂的技术合作框架规范开始,逐步拓展为整个行业的通行标准,甚至成为政府的行业法规。而标准的制定,更新,以及诠释也都是由这几个大厂来主导进行。
说到电动汽车,合资品牌并不是不在意纯电动汽车的发展,只不过以前时机不到而已,毕竟之前除了依靠补贴的纯电动之外依旧是个赔钱的买卖。这两年市场逐渐成熟,排放法规日趋严格,合资品牌开始进入纯电市场之后将会带来的最大变更就是让市场更加规范,尤其是在技术成熟度和研发流程标准上。
一个最直接的例子就是功能安全,这一直是最近这几年最热的话题。功能安全的本质是保证任何软件和电子控制系统不会因为功能bug而导致用车危险。
最近频频出现的电动车因为电池热失控而导致的自燃,如果是因为EE系统失效或者软件bug而导致的,包括BMS(电池控制系统),VCU(电动汽车中央控制系统),或者OBC(车载充电控制系统),都属于功能安全的范畴。
在进行功能安全分析的时候,最先要确定的是每一个系统的功能安全ASIL等级,这个等级由三个因素来决定:
1. 这个系统出错可能导致的伤害严重度
2. 出错的概率
3. 出错后驾驶员对风险的可控程度
三个因素交叉查表就可以定义出整体系统的ASIL等级QM,A,B,C,D。从QM到D,整体系统安全风险越来越高,对安全的要求也越来越高。
而ASIL D是功能安全中最为严格的一级,在上面表格中只出现在右下角唯一一个排列组合中。那么在这种情况下就要求车企在研发阶段从硬件软件设计,到测试验证,甚至到所有设计工具的使用,都必须耗费比其他ASIL A,B,C高几个指数级的时间、金钱和人力物力资源。
举两个具体的例子就可以看出ASIL D的要求之严:
1. ASIL D的硬件要求随机出错的概率是ASIL C的1/10,具体的概率如下表显示,可以用FIT (failure in time)来表示,1 FIT所表示的是运行10亿小时出错一次,ASIL D的要求是 10 FIT,也就是运行100亿小时出错一次——这等同于136,892辆车运行一年只有一辆出错一次。
2. 一般汽车控制软件只有在集成的时候才会做fault injection(主动错误注入)和Resource(CPU资源占用)的测试,来验证整体系统的纠错逻辑。而ASIL D等级的软件则要求从软件组件开始就必须独立进行上面这些验证(如下图所示)。
一般软件系统可能由十几个甚至几十个软件组件构成,于是ASIL D等级的软件只是从测试验证这一部分来说需要花费的时间、金钱和人力物力就会是ASIL C这个第二严苛等级的10倍。
很多人说功能安全是个玄学,因为其实整体功能安全分析是个相当主观的过程。比如在驾驶员可控度的评价上,如何判定可控还是不可控就相当主观。
于是在ASIL等级的确定上,很多关键系统,比如电动汽车动力的电池、电机、车载充电,还有底盘相关的ESP/ABS,虽然都是对安全需求极为严苛的系统,但是主机厂都在极力避免将这些定义为ASIL D,就是因为开发一套ASIL D的系统需要花费10倍于ASIL C系统的财力物力和时间才能宣称整车设计满足功能安全的要求。
回归到具体合资品牌会在这两年趋近成熟的电动汽车市场带来什么?就是这些更加规范严格,尤其是更加安全的电动汽车车型以及标准规范。
去年曾经写过一篇关于长城P8混动的文章,这辆车在功能安全上算是自主品牌新能源产品中最为成熟的一款。关键的ESP系统达到了ASIL D的等级,而其他动力总成相关的变速箱、中央控制器HCU,还有主驱动电机,电池包都达到了国际主流的ASIL C。
相对于此,很多自主品牌这些关键系统的功能安全都有待提升。至少我见过的多个品牌大部分自主系统属于有部分功能安全内容、却完全无法从硬件和软件层面得到认证。更不用提功能安全研发部门的组织构架还属于基本空白的状态。
今年开始电动汽车市场占有率大幅提升,很多刚上市的新车才经历了第一个年头。像热失控这样的安全问题会在这两年才逐渐凸显出来,而功能安全的重要性也会在合资电动车的主导下越来越受到自主电动车的重视。这其中尤其是中端车型,大众和通用开始全面铺开纯电动平台车型将直接驱动自主车企的技术革新,尤其是功能安全革新,否则自主品牌新能源车型必然会被另外一轮合资车型淘汰,从而“弯道超车”失败。
今年上汽通用上市的别克VELITE 6纯电动MAV,BMS已经满足了ASIL D最高等级的安全要求,尤其是考虑到这辆车的中端定位,不用说在国内,在目前欧美市场也很少见。
ASIL D等级的BMS对电池电压、电流和温度的状态监控以及纠错都要满足ASIL D的软件设计和测试要求。而对于电池系统可能出现的常见传感器,继电器和控制器硬件的系统失效率官方公布的结果是1 FIT,也就是在10亿小时使用中出现一次错误。
而正是为了达到ASIL D的要求,VELITE 6整体电池包硬件进行了冗余设计。功能安全进行冗余设计的原因就是大部分硬件供应商,比如传感器或者执行器供应商难以提供符合ASIL D失效率的产品(成本过高),只能通过冗余设计来实现等价的ASIL D要求。
比如,当一个传感器无法满足ASIL D要求的时候,可以通过冗余使用两个ASIL B等级的传感器来实现ASIL B + ASIL B = ASIL D的效果。
这也是为什么VELITE 6在电池相关的功能上拥有超过一般电池包的硬件和软件安全配置:
- 充电口新增对两个充电枪连接状态信号的错误诊断,其中任意一个状态错误时,BMS电控系统在1秒内断开高压,进一步降低用户的触电风险;
- 实现了在车辆行驶状态模式及熄火状态下对电池的全天候温度监控,并可通过车端和后台(CAC电话)协同报警;
- 高压线束连接部分采用二次锁机构,避免高压线的松脱及误触碰。高压线连接的零部件外壳都采用双路接地设计的冗余设计,杜绝因内部绝缘破坏而引起的触电事故;
- 双重冗余的主动放电功能。国家对于电压安全C-NCAP要求碰撞后60s内实现高压电下电,VELITE 6的高压系统做到碰撞后1秒内断开继电器,5秒内完成主动放电。
以我个人了解的欧洲行业内部情况是,2020年前后会有一大波纯电动合资/外资车型在中国上市,欧洲的纯电车型主要是为了满足整体品牌排放法规要求,真正期望走量和赚钱的是在中国市场。
而这一大波纯电车型,就和上面举例的别克VELITE 6一样会在两个方面吊打目前的自主纯电车型:
- 一个是对客户需求的准确拿捏。不再一味追求大功率、加速快,而是类似以往燃油车会针对车型定位搭载不同动力水平的动力总成和功能。
- 另外一个就是在前面着重强调的标准规范上,尤其是安全相关的标准规范,欧美车企会带来一批积累了10年技术而厚积薄发的产品。
因此在纯电领域,希望自主车企和互联网车企已经做好准备面对这场硬仗,尤其是在行业最新技术规范和标准实施上,希望不要被拉开太大差距。