福特Mustang Mach-E因电子门锁在12V电池断电状态下失效,导致潜在的安全隐患,已在全球范围内召回逾30万辆车辆,并暂停新车交付。
这个问题其实可以让我们看到接下来汽车中高度依赖软件控制系统,在关键场景下的脆弱性,引发了对于门锁高度电子化设计带来的影响。
门锁故障背后的系统逻辑
Mustang Mach-E门锁事件的核心问题,不在于物理结构本身,而是电子控制系统与传统12V电源之间的依赖关系断裂所造成的系统性功能失效。
Mach-E的门锁为电子控制机制,所有开闭动作均由ECU控制,通过车载CAN网络接收解锁指令并驱动执行器完成动作,这个控制单元并不由高压主电池组供电,而是依赖传统的12V电池。
在通常状态下,12V系统负责驱动诸如中控锁、电动门把手、仪表盘和部分传感器的供电。
当该低压系统电量耗尽时,高压电池可能仍有剩余能量,但车载控制系统将无法启动,门锁控制模块因无法通电而“冻结”在当前状态,如果车辆此前处于锁定状态,那么车门将无法解锁;反之亦然,控制逻辑完全由软件设定,缺乏有效的冗余路径。
更为严重的是,Mach-E并未配备物理钥匙孔作为低压失效时的手动解锁备份路径,某些配有隐藏机械锁芯的车辆在极端情况下仍可通过实体钥匙进入车辆。
在Mach-E设计中,出于美学、空气动力学与智能化趋势的考量,福特选择完全取消了这一“过时”的结构,这使得在断电情境下,驾驶员若无特殊技术手段,便无法开启车门。
目前的软件版本并未包含“12V失效冗余逻辑”的判断与处理流程,意味着电控模块无法在断电前保存状态或触发应急机制。若在此状态下车内有儿童被安全座椅束缚,则极有可能发生热失温等严重风险。
由于福特的电动汽车设计,随着整车架构向集中化、域控制、软件驱动演进,电子门锁由中央网关模块或车身域控制器(如BCM)统一管理,但其本质仍依赖12V系统供电。
当前Mach-E的控制架构并未在BCM或门控模块中设置“离线备份逻辑”,即便是电池电压下降至临界点,也无机制提前唤起主电池激活逻辑或引导用户采取外部供电措施。
当然解决这个问题,在中国有很多的办法,主要是经常让车辆在非活动状态也定期启动部分节点,然后检测12V电池的状态,在高压电池SOC高的时候,给12V电池充电。当然这种在碰撞中,就需要考虑超级电容了。
福特的补救措施
与其技术可行性评估
面对这一门锁控制逻辑的系统性缺陷,福特宣布将在2025年第三季度推出软件更新。
根据目前已披露的更新策略,修复措施主要围绕两大方向:
◎ 一是调整门锁模块控制逻辑,确保在12V电量不足时保留“机械释放优先级”;
◎ 二是优化BCM与电源管理模块(PCM)之间的协同,以提升系统应急识别能力。
从修复方式来看,此次软件更新并不能通过OTA远程方式部署,此次更新涉及深层次的控制逻辑修改,可能需对BCM和辅助诊断控制模块(OBD-SCM)进行底层固件刷新。
而这些模块一般需要通过有线接口,由授权经销商使用专用诊断工具(如福特的IDS或FDRS)进行配置更新。
软件可修改逻辑判断方式,例如在低压状态下保持门锁电源短暂唤醒,但物理层面仍无法突破12V系统本身的“供电瓶颈”。
若电压跌至完全不可用,任何由其驱动的控制器均处于停摆状态,更新带来的应急能力提升依然有限,从结构安全的角度,技术方案最终效果仍需与物理备份路径结合。
在欧美的舆论焦点“是否应恢复机械钥匙孔”聚焦,回归机械系统或被认为是“技术倒退”,但正如航空领域保留的机械操纵杆、电梯中的手动应急开关,关键系统的手动冗余,实质上是一种“理性工程主义”的体现,事实上欧美的车辆设计的反思,也在考虑在安全方面考虑这些是否保留。
Mustang Mach-E的门锁事件,其实让我们看到在欧美比较严苛的运营环境中,会有一些我们暂时意识不到潜在的风险,智能化技术路径的选择带来便利,如果软件层面有考虑不到的地方,也可能埋下盲区。
最前沿的电子设计资讯
