編者按：特斯拉故障或安全事故頻繁出現(xiàn)在新聞報(bào)道中，以至于這次315之后，分析為何特斯拉沒(méi)有上榜的文章出現(xiàn)了一大批。這一方面說(shuō)明，過(guò)去的一年特斯拉在中國(guó)市場(chǎng)狂飆猛進(jìn)，其故障與安全隱患已經(jīng)由小眾關(guān)注的事件變?yōu)榇蟊婈P(guān)注的社會(huì)事件，如不及時(shí)處理，以后累積的風(fēng)險(xiǎn)會(huì)越來(lái)越大；另一方面，無(wú)論中國(guó)，還是美國(guó)，對(duì)于特斯拉都相當(dāng)寬容，從好的角度來(lái)講，這是對(duì)創(chuàng)新的寬容，但姑息養(yǎng)奸，自動(dòng)駕駛系統(tǒng)的完善不應(yīng)以駕乘者安全為代價(jià)來(lái)獲取。

文︱立厷

3．15臨近時(shí)，特斯拉也是想來(lái)個(gè)大的廣告效應(yīng)，國(guó)內(nèi)外驚險(xiǎn)大片不斷上演，看看幾次撞入白色大貨的最近一次，能起作用的功能只剩下了后尾燈在提示后車別靠近。這么先進(jìn)豪華的車，那些主動(dòng)安全功能——FCW（前車防撞預(yù)警系統(tǒng)）、AEB（自動(dòng)制動(dòng)輔助系統(tǒng)）都哪里去了？不管出事故時(shí)Autopilot系統(tǒng)是否開(kāi)啟，也不管駕駛者踩幾次剎車，也不應(yīng)該屢屢車毀人傷。

有分析后臺(tái)數(shù)據(jù)的（另一起失控事故，特斯拉服務(wù)中心稱“所有系統(tǒng)都是正常運(yùn)行，沒(méi)有出現(xiàn)失控或剎車問(wèn)題”），有解讀攝像頭很難分辨目標(biāo)類型的，還有說(shuō)電動(dòng)汽車剎車與燃油車感覺(jué)不同的…… 其實(shí)車輛功能安全意識(shí)的缺失才是特斯拉的致命傷。

汽車功能安全怎能形同虛設(shè)？

一方面，在三電技術(shù)、整車制造、數(shù)據(jù)能力和輔助駕駛方面高度創(chuàng)新，被譽(yù)為引領(lǐng)行業(yè)進(jìn)步的頭部車企；另一方面，特斯拉的問(wèn)題也很突出。一言以蔽之，截止目前特斯拉出現(xiàn)的各種問(wèn)題是多而雜。仔細(xì)觀察卻不難發(fā)現(xiàn)其類型有四：其一，整車制造工藝粗糙，產(chǎn)品缺乏一致性；其二，車內(nèi)零部件易損；其三，不同國(guó)家和地區(qū)均出現(xiàn)“自燃”、“剎車失靈、突然加速”故障；其四，輔助駕駛安全事件不少。

前兩類問(wèn)題屬于非安全性的產(chǎn)品工藝或質(zhì)量問(wèn)題，可能是蘿卜快了不洗泥，利益驅(qū)動(dòng)急于擴(kuò)大產(chǎn)能所致，只要廠商正常保修，一般消費(fèi)者還可以接受；后兩類屬于車輛安全問(wèn)題，往往造成嚴(yán)重后果，如果不斷出現(xiàn)，消費(fèi)者和監(jiān)管層都不會(huì)置若罔聞。

早在2012年，歐盟就規(guī)定2014年生產(chǎn)的新車必須配備AEB系統(tǒng)。以日本和歐盟為首的40個(gè)國(guó)家希望從2022年開(kāi)始所有新車和輕型商用車配備AEB系統(tǒng)。中國(guó)的表現(xiàn)似乎還可以，調(diào)查表明，2020年中國(guó)乘用車市場(chǎng)AEB系統(tǒng)裝配率達(dá)到33．9％，同比增長(zhǎng)近一倍。

早在2017年，特斯拉就為所有購(gòu)買或沒(méi)有購(gòu)買Autopilot巡航輔助升級(jí)包的車型配備了AEB系統(tǒng)。但是，該功能只有車速在144．8公里／小時(shí)（高速路限速最高120公里／小時(shí)）才可使用，這是不是有點(diǎn)忽悠人。

什么是汽車功能安全？

ISO26262《道路車輛功能安全》國(guó)際標(biāo)準(zhǔn)于2005年11月開(kāi)始制定，經(jīng)歷6年時(shí)間于2011年11月正式頒布，中國(guó)也制定了相應(yīng)國(guó)標(biāo)。ISO26262基于IEC61508（電氣／電子系統(tǒng)功能安全通用標(biāo)準(zhǔn)），更適用于汽車行業(yè)。

ISO26262是汽車系統(tǒng)設(shè)計(jì)的關(guān)鍵要素，也是主機(jī)廠需要遵循的功能安全要求。目前，歐洲所有主機(jī)廠都必須符合功能安全要求；美國(guó)主機(jī)廠也在研究如何實(shí)施功能安全；亞洲主機(jī)廠（豐田、現(xiàn)代、吉利等）也已經(jīng)明確要求汽車功能安全。

為了更好地適應(yīng)不斷更新的技術(shù)需求，2018年底發(fā)布的第二版ISO26262國(guó)際標(biāo)準(zhǔn)增加了車輛使用和環(huán)境條件，要求可預(yù)見(jiàn)駕駛員使用和濫用情況、車輛系統(tǒng)之間的交互行為，并評(píng)估每個(gè)識(shí)別出的危險(xiǎn)情景——（Severity，嚴(yán)重程度）、（Exposure，暴露率）和（Controllability，可控性）。很顯然，作為一家豪華汽車品牌的特斯拉高檔車還沒(méi)有具備這樣的能力，這不能不說(shuō)是一種悲哀。

專家解讀汽車功能安全

汽車為什么需要功能安全？汽車進(jìn)步使然。今天的汽車電子系統(tǒng)越來(lái)越復(fù)雜，由電氣／電子系統(tǒng)故障導(dǎo)致的風(fēng)險(xiǎn)也越來(lái)越高；龐大的汽車數(shù)量和高頻率的使用，也對(duì)電氣／電子系統(tǒng)提出了更高的要求。

一般的汽車有上萬(wàn)個(gè)零部件，100多個(gè)ECU（俗稱汽車電腦）。如何將這這么多零部件與ECU有序集成，實(shí)現(xiàn)不斷增長(zhǎng)的舒適駕駛需求，是汽車行業(yè)十分嚴(yán)峻的挑戰(zhàn)。其中任何一個(gè)零部件、ECU的失效，都可能導(dǎo)致不可挽回的危害。因此，如何量化評(píng)估汽車功能是否安全，如何減少、規(guī)避風(fēng)險(xiǎn)，如何做到汽車功能安全等問(wèn)題變得十分突出。

一些行業(yè)專家為我們講解了汽車功能安全的重要性，令人茅塞頓開(kāi)，但并非針對(duì)特斯拉。

數(shù)據(jù)量今非昔比

應(yīng)該說(shuō)，特斯拉掌握的數(shù)據(jù)比誰(shuí)都多。SAE（國(guó)際自動(dòng)機(jī)工程師學(xué)會(huì)）全球地面車輛標(biāo)準(zhǔn)總監(jiān)Jack Pokrzywa回顧說(shuō)：“早在上世紀(jì)90年代初，我們就利用諸如事件數(shù)據(jù)記錄器或汽車‘黑匣子’之類的設(shè)備從汽車上收集到了數(shù)據(jù)，可以發(fā)現(xiàn)車輛碰撞前后的運(yùn)行信息�，F(xiàn)在的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了當(dāng)時(shí)，功能包括捕捉位置、天氣和交通狀況等外部信息；而車內(nèi)傳感器可以收集乘客數(shù)據(jù)，以便在發(fā)生事故時(shí)提供有用的信息。此外，生物特征信息也已不在話下，傳感器還可以跟蹤駕駛者眼球運(yùn)動(dòng)，檢測(cè)其注意力，從而確定司機(jī)是否在開(kāi)車時(shí)打盹或看手機(jī)�！�

他也指出，任何運(yùn)行在軟件上的設(shè)備都可能出現(xiàn)問(wèn)題，要解決這些問(wèn)題，就需要行業(yè)內(nèi)，特別是主機(jī)廠及供應(yīng)鏈之間的高度知識(shí)共享，還需要一個(gè)全球性的整體方法。

用整體方法解決汽車安全問(wèn)題

安全是一個(gè)分層體系

Aptiv高級(jí)副總裁、首席技術(shù)官兼總裁Glen De Vos問(wèn)道：“多年來(lái)，汽車的設(shè)計(jì)都是安全第一。但是，當(dāng)汽車本身被改造的時(shí)候，安全性會(huì)怎樣呢？”

他表示：“在重新設(shè)計(jì)創(chuàng)建車輛架構(gòu)的方法時(shí)，也要重新設(shè)計(jì)安全系統(tǒng)，以便在架構(gòu)組件之一出現(xiàn)故障時(shí)確保駕駛員的安全。我們開(kāi)發(fā)了一個(gè)三層故障操作設(shè)計(jì)，將彈性嵌入所有三層（計(jì)算、網(wǎng)絡(luò)、電源）。這意味著，在系統(tǒng)出現(xiàn)部分或全部故障時(shí)，車輛仍然能夠安全停車�！�

他介紹了所有三個(gè)層次的安全機(jī)制：

一是計(jì)算：在嚴(yán)重計(jì)算機(jī)故障中不依賴于一個(gè)集中的計(jì)算節(jié)點(diǎn)，在架構(gòu)中加入了足夠的冗余計(jì)算能力，就能使車輛安全停下來(lái)；

二是網(wǎng)絡(luò)：如果車輛內(nèi)的網(wǎng)絡(luò)連接出現(xiàn)故障，雖然車內(nèi)空間有限，不能創(chuàng)建一個(gè)完整的冗余網(wǎng)絡(luò)，但利用創(chuàng)新的雙環(huán)拓?fù)湎到y(tǒng)，即靈活性和可承受性的交叉點(diǎn)，每個(gè)節(jié)點(diǎn)連接到另外兩個(gè)節(jié)點(diǎn)，形成一個(gè)連續(xù)的環(huán)，信號(hào)通過(guò)每個(gè)節(jié)點(diǎn)，效率遠(yuǎn)優(yōu)于傳統(tǒng)星型拓?fù)浣Y(jié)構(gòu)，可更好地處理重負(fù)載，并以一種負(fù)擔(dān)得起的方式實(shí)現(xiàn)所需冗余；

三是電源：軟件定義的汽車能像傳統(tǒng)汽車那樣只依靠一個(gè)動(dòng)力源嗎？最近許多人都在說(shuō)“不”。智能車輛架構(gòu)解決方案采用了智能雙環(huán)電源和智能熔斷器，能夠以合理的價(jià)格提供故障操作性能。

被動(dòng)安全和主動(dòng)安全的區(qū)別

特斯拉可是軟件定義汽車的急先鋒，做的非常超前。而在自動(dòng)駕駛汽車的研究到原型車，再到上路實(shí)車的進(jìn)程中，它是否遵循了ISO26262標(biāo)準(zhǔn)呢？

BlackBerry QNX認(rèn)證部門軟件開(kāi)發(fā)工程師Chris Hobbs認(rèn)為：“在某些行業(yè)，系統(tǒng)故障會(huì)給人類生命和財(cái)產(chǎn)造成嚴(yán)重?fù)p失，因此功能安全始終是一項(xiàng)必須滿足的要求。”

他的說(shuō)法與Glen De Vos如出一轍，為使系統(tǒng)真正安全，需要設(shè)置不同的功能安全級(jí)別。這反映在許多功能安全標(biāo)準(zhǔn)中，例如ISO26262、IEC61508、EN50128等。這些標(biāo)準(zhǔn)通常包含系統(tǒng)、硬件和軟件部分。通常，當(dāng)硬件發(fā)生故障時(shí)，軟件可以避免災(zāi)難性后果的出現(xiàn)。例如，空客A320發(fā)現(xiàn)引擎硬件失靈，在飛行控制軟件的幫助下，可以成功迫降。這就“功能安全”的有趣定義。

那么，功能安全與其他類型的安全有什么區(qū)別呢？他舉例說(shuō)，如果有人拆掉某臺(tái)通信設(shè)備的光纖來(lái)觀察激光發(fā)射器，那么他的眼睛很可能會(huì)受傷。為避免此類問(wèn)題，可以將激光發(fā)射器朝下安裝在靠近地面的位置，人們的視線就不會(huì)直視激光發(fā)射器；還可以開(kāi)發(fā)一個(gè)能檢測(cè)到光纖是否被拆的軟件，并在光纖拆下后5毫秒內(nèi)關(guān)閉激光。這兩種方法都能提高安全性。前者并沒(méi)有依賴任何手段來(lái)保持功能正常，進(jìn)而確保系統(tǒng)安全，是被動(dòng)安全的做法。后者才是功能（主動(dòng)）安全的做法。

被動(dòng)安全與安全帶等部件有關(guān)，而功能安全或主動(dòng)安全則與ADAS（高級(jí)駕駛員輔助系統(tǒng)）有關(guān)。如果將系統(tǒng)比作一個(gè)巧克力蛋糕，那么功能安全絕不是蛋糕烘焙好之后添加上去的點(diǎn)綴，而是混合在蛋糕配料中的糖——是在最初就已加入的原料之一，并且是在蛋糕放進(jìn)烤箱之前很久就已加入的。有誰(shuí)會(huì)在蛋糕烘焙好之后再用注射器把糖注進(jìn)去呢？那種“你可以立即構(gòu)建這一功能嗎？我稍后會(huì)確認(rèn)一下我們是否有ASIL（汽車安全完整性等級(jí)），之后你再將安全等級(jí)添加進(jìn)去”的做法是行不通的。

由于車輛系統(tǒng)變得越來(lái)越復(fù)雜，功能也越來(lái)越豐富，在構(gòu)造之初就已考慮功能安全的部件幾乎已成為一種必需。這類組件包括微控制器、微處理器、其他硬件外圍設(shè)備、操作系統(tǒng)、中間件以及協(xié)議棧，有時(shí)甚至是整個(gè)解決方案。

安全文化至關(guān)重要

QNX產(chǎn)品經(jīng)理Zheng Yi認(rèn)為，安全文化是安全產(chǎn)品獲得成功的首要因素。對(duì)許多工程師來(lái)說(shuō)，把握安全文化絕非易事。從根本上講，任何缺失安全文化的企業(yè)都無(wú)法創(chuàng)建一個(gè)安全的系統(tǒng)。ISO26262對(duì)安全文化的積極和消極特征進(jìn)行了描述。例如，將重點(diǎn)放在產(chǎn)品開(kāi)發(fā)結(jié)束時(shí)的測(cè)試，而不是在開(kāi)發(fā)周期的早期進(jìn)行設(shè)計(jì)分析、設(shè)計(jì)形式論證或者其他工作，就是消極的安全文化。

她強(qiáng)調(diào)說(shuō)：“一家公司遵循ISO26262，并不意味著它就擁有安全文化。當(dāng)開(kāi)始選擇功能安全時(shí)，你可能會(huì)發(fā)現(xiàn)各家公司都有自己的獨(dú)門配方。你需要自己選擇最適合你的功能。到目前為止，對(duì)于選擇與安全性相關(guān)的產(chǎn)品，我們給出了三個(gè)主要需要考慮的因素：公司是否擁有安全文化？遵守標(biāo)準(zhǔn)的嚴(yán)格程度如何？產(chǎn)品是否有有效的功能安全？”

她總結(jié)道，在考慮安全性時(shí)要記�。菏紫�，安全文化是基礎(chǔ)，沒(méi)有安全文化，就無(wú)法生產(chǎn)出安全的產(chǎn)品。其次，構(gòu)建你相信可以打造出安全產(chǎn)品的系統(tǒng)，然后嘗試將其與標(biāo)準(zhǔn)對(duì)標(biāo)，并查看存在哪些差距。第三，安全狀況報(bào)告是開(kāi)發(fā)的重要組成部分，必須在整個(gè)開(kāi)發(fā)過(guò)程中隨時(shí)遵循，而不是用作開(kāi)發(fā)結(jié)束的標(biāo)簽。

ADAS和自動(dòng)駕駛的初衷都是安全

時(shí)至今日，ADAS遠(yuǎn)未普及，其功能的升級(jí)未必可以達(dá)到高級(jí)自動(dòng)駕駛。出于道路安全考慮，當(dāng)務(wù)之急仍是做好和普及ADAS。毫無(wú)疑問(wèn)，現(xiàn)在推進(jìn)ADAS的初衷是為了安全，也是無(wú)人駕駛的關(guān)鍵落地點(diǎn)。目前歐美日均已將ADAS列入汽車安全法規(guī)，中國(guó)尚未納入。

主動(dòng)安全系統(tǒng)是現(xiàn)代汽車輔助駕駛系統(tǒng)的重要組成部分。特斯拉曾在2019年第4季安全報(bào)告中信心滿滿地指出：自動(dòng)駕駛系統(tǒng)或許遠(yuǎn)比我們想象中要更加可靠。特斯拉售出車輛的事故數(shù)據(jù)表明，第4季在使用Autopilot自動(dòng)駕駛功能情況下，平均每494萬(wàn)公里發(fā)生一次事故；未使用Autopilot但有主動(dòng)安全系統(tǒng)情況下，平均每338萬(wàn)公里發(fā)生一次事故；兩者皆無(wú)平均每264萬(wàn)公里就會(huì)發(fā)生一次事故。從這一點(diǎn)看，自動(dòng)駕駛（ADAS）在作為駕駛輔助之余，對(duì)削減事故還是很有用的。現(xiàn)在看，其可信度會(huì)大打折扣。

未來(lái)的自動(dòng)駕駛（主動(dòng)安全系統(tǒng)）應(yīng)該在車輛出現(xiàn)故障或事故時(shí)可以把車開(kāi)到安全地帶，甚至將受傷的人員送到醫(yī)院，那的確是未來(lái)的事情。

要不要舍命陪君子？

“果粉”也就算了，“特粉”可是在舍命陪君子。yieldHUB業(yè)務(wù)開(kāi)發(fā)經(jīng)理Andre van de Geijn在討論芯片安全性時(shí)的說(shuō)法很能說(shuō)明問(wèn)題：“這取決于芯片用在汽車的哪個(gè)部分。如果用在娛樂(lè)系統(tǒng)，可以使用與數(shù)百萬(wàn)部手機(jī)相同的組件，你可以信任這些組件。如果你的手機(jī)故障率很高，立即可以換一個(gè)。許多主機(jī)廠說(shuō)，這只是一個(gè)組件，我可以取出模塊，換上一個(gè)新的模塊。但如果是汽車管理控制單元，那就完全不同了�！�

為確定是否恰當(dāng)?shù)剡x擇了某個(gè)產(chǎn)品，你需要清楚地了解該產(chǎn)品究竟可以為你帶來(lái)什么：如何使用該產(chǎn)品，可以用該產(chǎn)品做什么或不能用它來(lái)做什么。就像特斯拉剛推出Autopilot時(shí)稱之為“自動(dòng)駕駛系統(tǒng)”而誤導(dǎo)了消費(fèi)者，屢屢付出生命代價(jià)之后才更名為“自動(dòng)輔助駕駛系統(tǒng)”。

Zheng Yi解釋說(shuō)，安全產(chǎn)品常使用一些不同的名稱，導(dǎo)致了購(gòu)買時(shí)的混亂情況。消費(fèi)者需要對(duì)將要購(gòu)買的產(chǎn)品建立清晰的認(rèn)識(shí)，這一點(diǎn)非常重要。你必須多問(wèn)幾個(gè)問(wèn)題。

關(guān)于產(chǎn)品安全的幾個(gè)問(wèn)題

安全才是第一位

說(shuō)一千道一萬(wàn)，安全法規(guī)，哪個(gè)造車的、買車的、開(kāi)車的不懂？為了市場(chǎng)利益置安全于不顧，至少是不夠重視，實(shí)屬不該；反觀買車的就沒(méi)有責(zé)任嗎？已經(jīng)明知道這車不夠安全，為什么還要掏錢呢？