相較於今年初發生的波音(Boeing) 737 Max客機墜毀事件,2015年的一起消費者懸浮滑板(hoverboard)起火事故確實是無法相提並論。

但從這兩起事件可以得知,系統故障引起的破壞程度可大可小。然而,無論是在哪一起事故中,受到審查的要素都是安全的設計原則,以及責任方應該嚴格遵循的驗證過程。

當然,像飛機墜毀這樣的災難性事件需要詳細調查內部和外在因素。從波音客機的案例來看,為了找出事故的真正原因,曠日持久的實地調查任務涉及許多訪問和模擬,同時由於各方交相指責和不可避免地推卸責任,讓情況變得更加錯綜複雜。

要在如此複雜的系統中找到問題的癥結並不容易,尤其是當涉事公司善於掩飾而無法確保透明度。而且,當調查目標可能不會帶來明顯的投資報酬,甚至與商業利益衝突時,就更難提出一項明確的補救措施。

相形之下,透過對懸浮滑板爆炸事件追根溯源,提取行為準則,分析什麼是正確以及什麼是錯誤的做法,可能更容易讓我們著手研究安全攸關的設計問題。

全球性的懸浮滑板危機

首先,讓我們回顧一下為什麼懸浮滑板會成為全球危機。

hoverboard, small

懸浮滑板一度成為聖誕購物季的必買禮物。

首先,懸浮滑板實際上並不會「凌空懸浮」,而只是一種以電池供電的發光滾輪滑板。這類玩具曾經一度成為2015年聖誕購物季人們必買的禮物。

但僅僅六個月之後,因為存在起火或爆炸的危險,超過500,000台懸浮滑板被廠商召回。2016年中,美國消費品安全委員會(CPSC)宣佈:「至少已經收到99起有關自平衡(self-balancing)的滑板車/懸浮滑板電池組涉及電池過熱、火花、冒煙、著火和/或爆炸等事故的報告,甚至包括燒傷與財產損失等。」

極致風暴

消費者對於懸浮滑板的狂熱以及由此衍生的安全問題,引發了一場市場角力的「極致風暴」(perfect storm)。

首先,懸浮滑板是一個全新的產品類別。當第一台懸浮滑板於2015年投放市場,旋即得到了消費者的認可,當然,這得感謝一些名人的YouTube視訊短片,例如小賈斯汀(Justin Bieber)的一曲‘Epic HoverBoard Dance Cover’。

Underwriters Laboratories (UL)能源和電力技術首席工程總監Ken Boyce告訴我們,懸浮滑板「贏得了全球關注,市場供不應求。」

這是一個潛藏巨大商機的新市場,吸引眾多廠商迅速搶進,包括許多亞洲製造商。所有的廠商都面臨著產品上市時間緊迫的巨大壓力。「他們不得不快速完成設計,」Boyce發現,因為這樣的設計通常基於「部落知識」(Tribal Knowledge)。

換言之,每一家公司都在「單打獨鬥」地製造自家產品。但他們有沒有內部的安全工程標準?當然沒有。他們依靠的是「公司中其他人通常不知道的不成文規定」,這就是Boyce對「部落知識」的定義。

同樣重要的是,根本沒有「懸浮滑板產業」一說。即使供應商們願意,也沒有懸浮滑板車的安全標準可遵循。

Boyce認為,「快速的產品開發、全球供應鏈、更多的新創公司,以及更快的消費者需求,這一切都對安全構成了嚴重威脅。」 事實上,許多懸浮滑板供應商只看到了眼前的發財機會,卻沒有處理鋰離子電池危險的經驗。懸浮滑板的潛在市場看起來如此誘人,甚至美好得令人難以置信,但製造商也面對著必須以最快速度生產交貨的龐大壓力。為了擺脫這種困局,滿足市場需求成為偷工減料的最好藉口。

安全標準在「幾周內」敲定

UL就在那個時候進入這一領域。

「制定標準太費時間了!」——別管這一類經常在矽谷聽到的抱怨吧!這一次,Boyce說, UL「在短短幾週內」就敲定了符合懸浮滑板安全要求的規範,。

懸浮滑板起火事件引起了UL的重視,在2015年的整個聖誕假期,UL一直致力於相關的安全分析和技術研究。Boyce的團隊也記錄了那些事件,並編寫出一項符合安全要求的標準。2016年1月底,UL發佈了UL 2272標準。在Boyce的團隊開始調查懸浮滑板安全性的五個月之後,UL推出了懸浮滑板安全認證計畫。到2016年底,UL在美國和加拿大發佈了「達成共識」 的懸浮滑板安全性區域標準。

相較於其他較大的標準(如ISO),「共識」標準是由有興趣參與開發和/或使用標準的各方合作而取得的。「共識」需要考慮所有觀點甚至反對意見,努力提供解決方案。懸浮滑板的安全標準就是一個例子,它展現了像UL這樣的獨立認證機構如何敏捷且迅速地解決消費產品的安全危機。

熱失控

雖然產品著火看起來只是一起直接而簡單的事故,但Boyce指出,懸浮滑板實際上是「一種複雜的系統」。

電動自行車、電動滑板車、電動工具以及甚至是特斯拉(Tesla)這類電動車(EV)都曾經發生過「熱失控」(thermal runaway)的問題,因為它們都使用鋰離子電池作為能量儲存介質。其電池組都由幾個電池單元和一個電池管理系統組成。

如果鋰離子電池中的一個電池單元進入熱失控狀態,「病毒」就會以骨牌效應傳播到其它電池單元,最終損壞為懸浮滑板供電的整個電池。這是一種無法阻擋的連鎖反應。

儒卓力(Rutronik)曾經有一篇論文——「如何防止鋰離子電池熱失控?」,其中描述熱失控過程,論文的兩位作者分別是其策略行銷和傳播總監Andreas Mangler和熱管理產品銷售經理Roland Hofmann。文中是這樣描述的:

溫度在幾毫秒內迅速升高,儲存於電池中的能量突然被釋放,產生約400℃的高溫,導致電池變為氣態並著火,火勢很難以傳統方式撲滅。熱失控的風險在60℃時就開始了,到了100°C時變得極為嚴重,而電池實際會在何時著火,則取決於具體的情況而定。

由於存在這種威脅,電池管理系統的重要性顯得尤為重要。電池管理系統必須確保電池維持在指定的工作範圍,為此,這需要非常精確地測量充電和放電電流、電池電壓以及溫度。

需要特別注意的是,鋰離子電池的工作溫度範圍很窄,僅介於+15~+ 45℃之間。電池單元的功能安全性、使用壽命和週期穩定性——即整個電池甚至整個電動車或電動工具系統的功能安全性,在很大程度上均取決於電池單元是否能維持在此溫度範圍內運作。

如果溫度超過臨界值,就會發生熱失控。

熱失控有幾個觸發因素,其中包括內部短路。例如,如果懸浮滑板從高處落下,導致電池變形,電池材料就會滲入電池單元而引發內部短路。其它原因有外部短路(電池單元變形)、電池過度充電,以及電池在充電或放電時的電流過高等。

由於許多懸浮滑板起火事故都需要採取緊急處理措施,UL消防安全研究所(FSRI)還為此製作了相關視訊,讓消防人員瞭解在發生這類事故時要如何因應。

協力廠商認證

為了確保飛機安全,美國聯邦航空管理局(FAA)在評估安全方面扮演著重要的第三方角色。

但是,不久前波音737 Max飛機失事事件暴露了一個事實:即使FAA這樣被公認是維護飛機安全標準的機構,在測試和評估新飛機安全性的過程中,也無法獨立於製造商的影響。

更糟的是美國的汽車工業。美國汽車製造商因為堅持獨立於聯邦機構之外而聲名狼藉。在多數情況下,他們對車輛安全性僅進行自我認證。

隨著自動駕駛車的出現以及其整合複雜的嵌入式軟體,美國汽車製造商是否會尋求協力廠商測試人員/評估人員的幫助,以確保自動駕駛車的安全性,一切還有待觀察。

在懸浮滑板的危機中,UL不僅開發出安全標準,還提供了符合安全標準的測試與認證。UL 2272標準涵蓋了電力傳動系統,包括自平衡滑板車中的充電電池和充電器系統組合。

Boyce引用了測試、檢驗與認證(TIC)聯盟去年完成的《消費產品市場調查報告》(Consumer Product Market Survey),說明協力廠商評估人員在確保產品安全性的重要作用。

這份市場調查比較了北美和歐洲某些消費產品類型的合規率,它是透過以下方式進行評估的:(1) 第一方評定,即供應方自我評估,通常稱為供應商合規性聲明(SDoC);(2) 獨立的第三方(協力廠商)合規性評定機構(CAB)。

TIC聯盟從北美和歐洲的零售商處取得了537個隨機樣本進行測試。根據調查顯示,大約有10%來自歐盟的產品獲得了獨立的協力廠商認證,而在北美購買的產品中則有95%獲得了認證。這個差異似乎源於不同的國家採用了不同監管方式。

最終的調查結果顯示,在所有經測試的產品中,有17%自行標示「安全」的產品出現了可能引起危險的故障,而在經過獨立協力廠商認證的產品中,此類故障不到1%。

TIC Survey, by Country

TIC聯盟的調查顯示不同國家的危險產品百分比。(來源:TIC Federations)

上圖顯示按國家分類的調查結果。其中,採用協力廠商認證的國家,其產品的危險故障率最低。相反地,依賴於供應商合規聲明(SDoC)的國家,其產品的危險機率較高。

該調查並顯示,經過協力廠商認證的產品嚴重故障率幾乎為零,只有電熨斗存在兩項嚴重故障。

TIC Survey, by Product

經過協力廠商認證的產品嚴重故障率幾乎為零。(來源:TIC Federations)

(參考原文:How Hoverboard Makers Neglected Safety,by Junko Yoshida)

本文同步刊登於電子技術設計雜誌2019年11月號