杨福宇专栏|TESLA MODEL 3的CAN网络弱点

杨福宇老师研究多年CAN总线在汽车中的应用具有很大的实用价值。为了方便汽车行业工程师关注杨先生的研究成果，本官方账号专门开设了杨福宇专栏。请期待更多精彩内容。杨先生的电子邮件：yfy812@163.com,欢迎交流讨论！

2021-2-21河南安阳TESLA刹车失灵案LOG记录如下：

制动段共44段，其中油压失帧（ESP丢帧）的有32段，每次最大丢帧数为218帧（每帧10ms时间)；有3段车速丢帧，最大丢帧持续时间为3.8秒(相当于380帧)；10段未预期加速，最大速度5km/h。非预期加速是一种停不下来的汽车。

非刹车段共40段(部分非刹车段很短，不计入)，其中加速踏板丢帧20段，最长丢帧时间为5秒(相当于500帧)；速度丢帧19段，最长丢帧时间6.5秒(相当于650帧)；未踩加速踏板时，非预期加速2段，最大非预期加速速度为7.5km/h。非预期加速常被称为突然加速。

分析TESLA在失控的投诉实例中，不能排除通信失效的可能性。上图中大量帧丢失就是通信故障的例子(一直丢失就是通信故障)。CAN汽车的应用已经有30年的历史了。干扰可能更大的电动汽车真的有问题吗？为此，首先要注意TESLA是怎么使用CAN总线的。

1. TESLA为了提高印刷板上的安装密度，使用了更多的插头，如前车身控制（https://zhuanlan.zhihu.com/p/108892577）PRIVATE CAN 有52个引脚的插件安排引脚J1.插头部分安装密集的线头，双绞线必须长时间解开。

特斯拉Model 线束设计评论中的照片如下：

这是与常规CAN电缆要求不一致：

国际标准中没有规定解绞距离，国内行业标准 QC／T29106-2014《汽车线束技术条件》规定，开绞距离不得大于 80mm。见图 4。而美标 SAE 1939 中对 CAN 双绞线的规定是：未绞线尺寸不得超过 50mm。因此，国内行标的规定是针对 CAN 尺寸大，不适用。目前，车企或线束厂对于高速公路 CAN 线的解绞距离限制在 50mm 或 40mm 以内，以保证 CAN 信号的稳定性。例如德尔福的 CAN 总线要求的解绞距离小于 40mm。

2. TESLA简化电缆，取双绞线不等长

TESLA刹车和转向安全相关的通信PRIVATE CAN网络使用的双绞线标记为CPT01，CPT01分为多段，用于子段A-Q编号。

来自空间的辐射干扰将在不等长的差额部分接收到CANH,CANL迭加干扰电压形成，降低通信信号质量，容易出错，包括错帧漏检。

其中ESP连到中心Z2.后电机控制器连接到中心Z8，从ESP后电机控制CANH,CANL双绞线长度累计差263（CPT01-N）-895（CPT01-L）-143（CPTO1-K ）-143（CPT01-G） 0（CPT01-D）=-918mm。这是由ESP发出的轮速、加速度传感器信号到后电机控制重建车速信号的路径。近1米1米长差的可能性很大。轮速和加速度传感器信号的丢失导致车速信号重构失败，反馈信号断路，形成突然加速或减速。

3 .TESLA为了减轻电缆的重量和成本，减少电缆截面积

在TESLA PRIVATE CAN 的各CPT除01双绞线外ESP用的CPT01-N以及EDR用的CPT01-H双绞线的截面积为0.35mm另外，其余为0.13mm2.高频信号具有皮肤效应，减少线路截面积，改变特征阻抗，增加总线损失，增加干扰影响CAN频带要求不利。

CANH和CANL通常双绞线只有33绞线/米，而在强干扰场合，双绞线程度要达到45-55绞线/米，才能达到更好的抗干扰效果。此外，电缆的芯截面积应大于0.35~0.5mm2，CAN_H对CAN_L线间电容小于75pF/m，若采用屏蔽双绞线，CAN_H(或CAN_L)屏蔽层电容小于110pF/m。它能更好地降低电缆阻抗，从而降低干扰时抖动电压的范围。

4 .TESLA 为降低电缆长度，MODEL 3的PRIVATE CAN 采用了树形拓朴

分叉点是特征阻抗不连续的地方，阻抗不连续会导致信号衰减和反射。常规CAN扩大总线时也有分支机构。为了减少分支的阻抗影响，尽可能短的分支，如小于30cm。但在树形拓朴中，分支很长，TESLA树形拓朴有三个分叉点Z3、Z2和Z8。以Z以8分叉点为例，左车身控制为1455mm，到后电机控为3153mm，到EDR为735mm，右车身控制在3039mm，到最后一点Z2为2808mm。后电机控制处有终端电阻120欧元，其余无。理论上，后电机控制处不会反射，但由于导线截面为0.13mm2.特征阻抗不是120欧元，所以实际上还是有反射的。其他节点来回反射时间长，不同节点收发关系不同。例如，当一个节点的输出达到4个分叉时，总线阻抗降至1/4，信号幅值降至1/5(从2v变为0.4v），通过分叉的终点反射回来，然后上升到超过CAN稳定阈值(0.9v）为了保证接收节点有0输出，收发器的切换点为0.7v过渡中间的波动可能会多次0-1跳动。使CAN位宽抖动大，也会影响接收CAN信号质量。

CAN在同样干扰的情况下，网络物理的弱点理论上会转化为误码率的上升。(这方面没有实证比较研究结果的报道)。

帧错误的概率与误码率成正比。帧错误的结果有很多，从CAN协议本身有四个安全风险：1错帧泄漏检查；2等效离线；3整体数据不一致；4位时间错误进一步扩展为其他错误。这里不介绍具体内容。与本文直接相关的是错误时间的长度。错误时间的长度与错误重复次数、数据刷新周期、等效离线条件等有关。

在TESLA失控投诉最多的是刹车失灵和突然加速。因为刹车踏板的开度没有提供，LOG还没有数据IBOOSTER丢帧统计难以进一步分析。

TESLA使用制动系统功能BOSCH的IBOOSTER和ESP hev实现的。

若ESP hev认为IBOOSTER有故障，而ESP hev根据当时的轮速信号和故障前的刹车踏板开度，仍需最大限度地保留ABS防抱死功能，以及车身稳定功能，如转向角、角加速度、轮速等ESC。

在CAN连续出错后ESP认为IBOOSTER当油路关闭(下图中的油路)时，有故障接手刹车的功能isolation阀），使刹车踏板踩不下去。(见我的分析:TESLA制动故障的可能原因和验证V1），IBOOSTER电机卡死，电流大幅上升，满意IBOOSTER第一个功能安全设计触发条件，IBOOSTER满足故障条件和要求ESP hev接手制动功能帧，此信息在CAN通信恢复后到达ESP hev。更换通信错误ESP hev接手条件使油路仍然关闭。这是一种死锁状态。

CAN通信错误ESP hev 接管的概率取决于网络的抗干扰能力，从上面可以看出TESLA在CAN这方面网络相对较弱，在同样的干扰条件下，其误码率会更高。用于IBOOSTER通信帧周期为10ms，如果二次帧周期不能收到，速度为100km/h=27.7m/s=0.27m/10ms当制动距离增加0时，相当于.5m，显然是允许的极限。如果每次发送允许错误重发一次（错误重发次数过多会增加总线负载，使调度结果分析失效），则相当于4帧传输错误ESP hev判IBOOSTER错误，接管制动控制，密封油路，加上死锁机制，短时通信错误到长时间故障，导致制动不能继续，即制动故障。

按误码率高1倍计算，可以计算出刹车故障概率高24=16倍。

IBOOSTER丢帧时缺乏制动强度信息，汽车所能做的就是最大限度地发挥能量回收的制动功能。然而，当电机成为发电机时，能量回收引起的减速受到最大功率的限制，即单位时间吸收的功率是常数，即汽车的动能减少是常数。初始速度越高，速度减少越小。也就是说，能量回收的最大化无法解决ibooster失帧形成的刹车失灵。

TESLA速度计算设计薄弱，反馈电路断裂会导致通信故障突然加速(见我对2021年5月18日重庆特斯拉地库撞墙事件的分析V3)也会增加突然加速的故障率。

注：在一定条件下，CAN等效离线故障也会导致20ms发送帧的通信中断，节点无法接收帧，比发帧中的错误更严重，因此改进CAN也需要。

对干扰的敏感性越大，事故发生率越高，重复性越大。下两个例子多年前看到的外国报道:

2019年12月，丛女士在杭州万象城特斯拉展厅花了40万元买了一辆特斯拉进口车Model3.据她说，在购车当月，当车辆累计行驶里程约100公里时，车辆在行驶过程中多次自动加速。当时刹车很硬，无法正常踩下。

丛女士还提到，每次她在杭州钱江新城的一个社区停车场开特斯拉进停车场，汽车都会自然加速。她问邻居的其他新能源汽车是否也有这样的问题，答复是否定的，没有其他汽车也有类似的突然加速。

2021年6月22日 最近，一些网民抱怨说，当他们驾驶特斯拉时，在自适应巡航阶段，车辆突然加速，同一路段发生了4次自动加速。

这是我十年前读的更早(2002年)发表的综述，当时CAN标准仍然刚刚被汽车制造商接受。介绍了电子系统渗透的各种问题，如总线会导致整车大规模故障；软件BUG；提高硬件要求；传感器环境高温可引入水冷等。当时人们看到的问题后来发生了。个EMI电磁干扰问题我摘录如下：

Nor is that all. More electronics means more risk from externally generated electromagnetic interference (EMI) and from EMI generated by systems in the vehicle that are adjacent or interconnected. The effects can be quite serious: on certain highway overpasses in Europe, the engines of some vehicles have been shut off when their control units encountered high EMI levels from, among other things, high-voltage lines beneath the roadway, reported David Ladd. He is communications manager at Siemens VDO Automotive (Auburn Hills, Mich.), which operates an electromagnetic compliance testing lab. “These problems must be identified and corrected before the vehicle goes into production,” he emphasized. 

（西门子自动化管电磁合规测试实验室的通信部经理David Ladd报告说，电磁干扰的影响是很严重的，在欧洲有些高速公路跨线段，由于路下高压线的高EMI，有些车的引擎控制单元受影响而使引擎关断。----20年前就已经有高速公路上突然停车的后果！）

对照上述杭州丛女士遇到的情况，很可能是环境的干扰大，TESLA 的CAN 受到了干扰，由于设计上的“省钱”，不周全而引起出突然加速比别人多。

从上分析，很多人引用TESLA线束减短好处的宣传时，尚未提到它的副作用。安全必竟是第一位的，象TESLA这么做到底值不值，这是国产车厂应该更深入研究的问题。

1.看明白了CAN的错帧漏检，车厂就不能敷衍你了！

2.改进CAN是MCU厂商送给自己汽车客户的礼物！

3.杨福宇专栏|寻找可超车的弯道：伟人讲破字当头，立也在其中了

4.杨福宇专栏|Tesla为什么会突然加速？

5.杨福宇专栏|特斯拉突然加速与刹车失灵的可能原因探讨！

6.杨福宇专栏|温州特斯拉失控案EDR数据的深度解读

7.杨福宇专栏|2021年5月18日重庆特斯拉地库撞墙事件的技术分析~

8.杨福宇专栏|TESLA刹车失灵可能的原因与验证~

9.杨福宇专栏|细读特斯拉安阳案48页数据文档，了解故障的存在~

10.杨福宇专栏|TESLA EV突然加速，特别是加速踏板开度100%问题的讨论~