与今年初发生的波音737 Max客机坠毁事件相比,2015年的消费类平衡车(也称为悬浮滑板或自平衡滑板车)起火事故的确是小巫见大巫。
由这两起事件可见,系统故障引起的破坏性可大可小。但无论在哪起事件中,安全设计原则和责任方应该严格遵循的验证过程,都是审查的要素。
当然,像飞机坠毁这样的灾难性事件需要详细调查内部因素和外部因素。在波音公司的案例中,为了找出事故的真正原因,涉及许多会谈和仿真,加上各方相互指责和不可避免的推卸责任,使事情愈加复杂。
在如此复杂的系统中找到问题的症结很不容易,尤其是当涉事公司善于掩饰而不能保证透明度时。而且,当调查目标可能无法带来明显的货币投资回报,与商业利益冲突时,就更难找到明确的补救措施。
相比之下,通过对平衡车爆炸事件追根溯源,提取行为准则,可以更容易让我们开始研究安全攸关的设计问题。
首先,让我们回顾一下为什么平衡车会成为全球危机。
图1:平衡车一度成为圣诞购物季的必买礼物。
平衡车实际上是由电池供电的带滚轮的发光滑板(图1)。这类玩具一度成为2015年圣诞购物季人们必买的礼物。
但仅仅六个月之后,因为存在着火或爆炸的危险,超过500,000台平衡车被厂家召回。到2016年年中,美国消费品安全委员会宣布:“至少收到99起有关平衡车电池组事故的报告,涉及电池过热、冒火花、冒烟、着火和/或爆炸……还有烧伤与财产损失的报告。”
人们对平衡车的狂热以及由此带来的消费者安全问题说明,市场供需之间正在遭遇雪上加霜的情形。
首先,平衡车是一个全新的产品类别。首个平衡车于2015年投放市场,并迅速得到消费者的认可,当然,这要感谢一些名人的YouTube视频剪辑,比如贾斯汀·比伯(Justin Bieber)的“Epic HoverBoard Dance Cover”。
UL公司(以前称为Underwriters Laboratories)能源和电力技术首席工程总监Ken Boyce告诉我们,平衡车“赢得了全球关注,市场供不应求。”
这是一个可能很大的新市场,吸引了包括许多亚洲制造商在内的众多厂商进入。所有厂商都面临着产品上市时间紧迫的巨大压力。“他们不得不快速完成设计,”Boyce发现,这样的设计通常基于“部落知识(Tribal Knowledge)”。
换言之,每家公司都在“单打独斗”地完成自己的产品。这些公司有没有内部安全工程标准?没有。他们依靠的是“公司其他人通常不知道的不成文信息”,这就是Boyce对“部落知识”的定义。
同样重要的是,根本没有“平衡车行业”一说。即使供应商愿意,也没有平衡车安全标准可遵循。
Boyce认为,“快速的产品开发、全球供应链、更多的初创公司,以及更快的消费者需求,这一切都对安全构成了严重威胁。” 事实上,许多平衡车供应商只看到了眼前的发财机会,却没有应对锂离子电池风险的经验。潜在的平衡车市场看起来如此诱人,甚至不像真的,制造商必须以最快的速度生产产品,压力巨大。为摆脱这种困局,满足市场需求成为偷工减料的最好借口。
UL就在那个时候进入。
“制定标准太费时间了!”——忘记你经常在硅谷听到的抱怨吧。这次UL“在短短几周内”就敲定了平衡车的安全要求规范,Boyce说。
平衡车起火事件引起了UL的警惕,在2015年的整个圣诞购物季,UL一直致力于相关的安全分析和技术研究。Boyce的团队也记录了那些事件,并编写出安全要求标准。2016年1月底UL发布了UL 2272标准。在Boyce的团队开始调查平衡车安全性五个月之后,UL推出了平衡车安全认证计划。到2016年底,UL在美国和加拿大发布了“达成共识” 的平衡车安全性区域标准。
与其他大标准(如ISO标准)不同,“共识”标准是由有兴趣参与开发和/或使用标准的各方合作而得到的。“共识”需要考虑所有观点甚至反对意见,努力提供解决方案。平衡车安全标准就是一个例子,它证明像UL这样的独立机构可以敏捷、迅速地解决消费产品的安全危机。
虽然产品着火看起来只是一个直接而简单的事故,但实际上平衡车是“一个复杂的系统”, Boyce解释道。
电动自行车、电动滑板车、电动工具甚至特斯拉这类电动汽车都出现过热失控问题,因为它们都使用锂离子电池作为储能介质。这些电池组都由若干电池单元和一个电池管理系统组成。
如果锂离子电池中的一个电池单元进入热失控状态,这个“病毒”就会以多米诺骨牌效应传播到其它电池单元,最终损坏为平衡车供电的整个电池。这是不可阻挡的连锁反应。
儒卓力公司(Rutronik)曾有一篇论文描述热失控过程,论文的两位作者分别是该公司战略营销与传播总监Andreas Mangler和热管理产品销售经理Roland Hofmann。文中是这样描述的:
温度在几毫秒内迅速升高,存储于电池中的能量突然释放,产生约400℃的高温,电池变为气态并着火,火势很难通过传统方式扑灭。热失控的风险在60℃时就开始了,在100℃时变得极为严重,而电池何时着火则取决于具体的诱因。
由于存在这种威胁,电池管理系统的重要性显得尤为重要。电池管理系统要确保电池维持在指定的工作范围内,而做到这一点,则需要非常精确地测量充电和放电电流、电池电压以及温度。
需要特别注意的是,锂离子电池的工作温度范围很窄,仅介于+15~+45℃之间。电池单元的功能安全性、使用寿命和循环稳定性,也就是说整个电池甚至整个电动汽车或电动工具系统的功能安全性,在很大程度上均取决于电池单元是否能维持在此温度范围内工作。
如果温度超过临界水平,就会发生热失控。
热失控有几个触发因素,其中包括内部短路。例如,如果平衡车从高处落下,导致电池变形,电池材料就会渗入电池单元从而引起内部短路。其它原因有外部短路(电池单元变形)、电池过度充电,以及电池充电或放电时电流过大等。
由于许多平衡车火灾事故都需要采取紧急处理措施,UL FSRI(消防安全研究所)还制作了相关视频(截图见图2),让消防员了解在发生这类事故时要如何应对。
图2:平衡车起火(热失控展示)。(图片来源:UL)
对于确保飞机安全,美国联邦航空管理局(FAA)在评估安全性方面扮演着重要的第三方角色。
但是,今年波音737 Max飞机失事暴露了一个真相:即使FAA这样公认的维护飞机全球安全标准的机构,在测试和评估新飞机安全性的过程中,也无法脱离制造商的影响。
更糟的是美国汽车工业,美国汽车制造商因为坚持独立于联邦机构而臭名昭著。多数情况下,他们对车辆安全性仅进行自我认证。
逐渐走入人们生活的自动驾驶汽车集成了复杂的嵌入式软件,美国汽车制造商是否会寻求第三方测试人员/评估人员的帮助,以确保自动驾驶汽车的安全性,目前尚不得而知。
在平衡车危机中,UL不仅开发出安全标准,还完成了安全标准的测试与认证,展示出无与伦比的领导力。UL 2272标准涵盖电动动力总成,包括自平衡滑板车中的可充电电池和充电器系统组合。
Boyce引用了测试、检验和认证(TIC)联盟去年完成的消费产品市场调查报告,说明了第三方评估对确保产品安全性的重要作用。
市场调查比较了北美和欧洲某些类别消费产品的合规率,是通过以下方式进行评估的:(1)第一方评估,即供应方自我评估,通常称为供应商合规性声明(SDoC);(2)独立的第三方合规性评定机构(CAB)。
TIC从北美和欧洲的零售商那里购买了537个随机样本进行测试。调查显示,大约10%来自欧盟的产品获得了独立的第三方认证,而在北美购买的产品中有95%获得了认证。这个差异似乎源于不同的国家采用了不同监管方式。
最终的调查结果表明,在所有测试过的产品中,有17%自称“安全”的产品出现了可能引起危险的故障,而在经过独立第三方认证的产品中,此类故障不到1%。
图3:调查显示不同国家危险产品的百分比。(数据来源:TIC联盟消费产品市场调查)
图3显示了按国家分类的调查结果。其中,对于依赖第三方认证的国家,其产品的危险故障率最低。相反,对于依赖供应商合规声明(SDoC)的国家,其产品危险率更高。
图4:经过第三方认证的产品,其严重故障率几乎为零。(数据来源:TIC联盟消费产品市场调查)
图4表明,经过第三方认证的被调查产品,其严重故障率几乎为零,只有电熨斗存在两个严重故障。
(原文刊登于ASPENCORE旗下EETimes网站,参考链接:Case Study: How Hoverboard Makers Neglected Safety。)
本文为《电子技术设计》2019年11月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。