編者按：特斯拉故障或安全事故頻繁出現(xiàn)在新聞報道中，以至于這次315之后，分析為何特斯拉沒有上榜的文章出現(xiàn)了一大批。這一方面說明，過去的一年特斯拉在中國市場狂飆猛進，其故障與安全隱患已經(jīng)由小眾關注的事件變?yōu)榇蟊婈P注的社會事件，如不及時處理，以后累積的風險會越來越大；另一方面，無論中國，還是美國，對于特斯拉都相當寬容，從好的角度來講，這是對創(chuàng)新的寬容，但姑息養(yǎng)奸，自動駕駛系統(tǒng)的完善不應以駕乘者安全為代價來獲取。

文︱立厷

3．15臨近時，特斯拉也是想來個大的廣告效應，國內外驚險大片不斷上演，看看幾次撞入白色大貨的最近一次，能起作用的功能只剩下了后尾燈在提示后車別靠近。這么先進豪華的車，那些主動安全功能——FCW（前車防撞預警系統(tǒng)）、AEB（自動制動輔助系統(tǒng)）都哪里去了？不管出事故時Autopilot系統(tǒng)是否開啟，也不管駕駛者踩幾次剎車，也不應該屢屢車毀人傷。

有分析后臺數(shù)據(jù)的（另一起失控事故，特斯拉服務中心稱“所有系統(tǒng)都是正常運行，沒有出現(xiàn)失控或剎車問題”），有解讀攝像頭很難分辨目標類型的，還有說電動汽車剎車與燃油車感覺不同的…… 其實車輛功能安全意識的缺失才是特斯拉的致命傷。

汽車功能安全怎能形同虛設？

一方面，在三電技術、整車制造、數(shù)據(jù)能力和輔助駕駛方面高度創(chuàng)新，被譽為引領行業(yè)進步的頭部車企；另一方面，特斯拉的問題也很突出。一言以蔽之，截止目前特斯拉出現(xiàn)的各種問題是多而雜。仔細觀察卻不難發(fā)現(xiàn)其類型有四：其一，整車制造工藝粗糙，產(chǎn)品缺乏一致性；其二，車內零部件易損；其三，不同國家和地區(qū)均出現(xiàn)“自燃”、“剎車失靈、突然加速”故障；其四，輔助駕駛安全事件不少。

前兩類問題屬于非安全性的產(chǎn)品工藝或質量問題，可能是蘿卜快了不洗泥，利益驅動急于擴大產(chǎn)能所致，只要廠商正常保修，一般消費者還可以接受；后兩類屬于車輛安全問題，往往造成嚴重后果，如果不斷出現(xiàn)，消費者和監(jiān)管層都不會置若罔聞。

早在2012年，歐盟就規(guī)定2014年生產(chǎn)的新車必須配備AEB系統(tǒng)。以日本和歐盟為首的40個國家希望從2022年開始所有新車和輕型商用車配備AEB系統(tǒng)。中國的表現(xiàn)似乎還可以，調查表明，2020年中國乘用車市場AEB系統(tǒng)裝配率達到33．9％，同比增長近一倍。

早在2017年，特斯拉就為所有購買或沒有購買Autopilot巡航輔助升級包的車型配備了AEB系統(tǒng)。但是，該功能只有車速在144．8公里／小時（高速路限速最高120公里／小時）才可使用，這是不是有點忽悠人。

什么是汽車功能安全？

ISO26262《道路車輛功能安全》國際標準于2005年11月開始制定，經(jīng)歷6年時間于2011年11月正式頒布，中國也制定了相應國標。ISO26262基于IEC61508（電氣／電子系統(tǒng)功能安全通用標準），更適用于汽車行業(yè)。

ISO26262是汽車系統(tǒng)設計的關鍵要素，也是主機廠需要遵循的功能安全要求。目前，歐洲所有主機廠都必須符合功能安全要求；美國主機廠也在研究如何實施功能安全；亞洲主機廠（豐田、現(xiàn)代、吉利等）也已經(jīng)明確要求汽車功能安全。

為了更好地適應不斷更新的技術需求，2018年底發(fā)布的第二版ISO26262國際標準增加了車輛使用和環(huán)境條件，要求可預見駕駛員使用和濫用情況、車輛系統(tǒng)之間的交互行為，并評估每個識別出的危險情景——（Severity，嚴重程度）、（Exposure，暴露率）和（Controllability，可控性）。很顯然，作為一家豪華汽車品牌的特斯拉高檔車還沒有具備這樣的能力，這不能不說是一種悲哀。

專家解讀汽車功能安全

汽車為什么需要功能安全？汽車進步使然。今天的汽車電子系統(tǒng)越來越復雜，由電氣／電子系統(tǒng)故障導致的風險也越來越高；龐大的汽車數(shù)量和高頻率的使用，也對電氣／電子系統(tǒng)提出了更高的要求。

一般的汽車有上萬個零部件，100多個ECU（俗稱汽車電腦）。如何將這這么多零部件與ECU有序集成，實現(xiàn)不斷增長的舒適駕駛需求，是汽車行業(yè)十分嚴峻的挑戰(zhàn)。其中任何一個零部件、ECU的失效，都可能導致不可挽回的危害。因此，如何量化評估汽車功能是否安全，如何減少、規(guī)避風險，如何做到汽車功能安全等問題變得十分突出。

一些行業(yè)專家為我們講解了汽車功能安全的重要性，令人茅塞頓開，但并非針對特斯拉。

數(shù)據(jù)量今非昔比

應該說，特斯拉掌握的數(shù)據(jù)比誰都多。SAE（國際自動機工程師學會）全球地面車輛標準總監(jiān)Jack Pokrzywa回顧說：“早在上世紀90年代初，我們就利用諸如事件數(shù)據(jù)記錄器或汽車‘黑匣子’之類的設備從汽車上收集到了數(shù)據(jù)，可以發(fā)現(xiàn)車輛碰撞前后的運行信息�，F(xiàn)在的技術已經(jīng)遠遠超過了當時，功能包括捕捉位置、天氣和交通狀況等外部信息；而車內傳感器可以收集乘客數(shù)據(jù)，以便在發(fā)生事故時提供有用的信息。此外，生物特征信息也已不在話下，傳感器還可以跟蹤駕駛者眼球運動，檢測其注意力，從而確定司機是否在開車時打盹或看手機�！�

他也指出，任何運行在軟件上的設備都可能出現(xiàn)問題，要解決這些問題，就需要行業(yè)內，特別是主機廠及供應鏈之間的高度知識共享，還需要一個全球性的整體方法。

用整體方法解決汽車安全問題

安全是一個分層體系

Aptiv高級副總裁、首席技術官兼總裁Glen De Vos問道：“多年來，汽車的設計都是安全第一。但是，當汽車本身被改造的時候，安全性會怎樣呢？”

他表示：“在重新設計創(chuàng)建車輛架構的方法時，也要重新設計安全系統(tǒng)，以便在架構組件之一出現(xiàn)故障時確保駕駛員的安全。我們開發(fā)了一個三層故障操作設計，將彈性嵌入所有三層（計算、網(wǎng)絡、電源）。這意味著，在系統(tǒng)出現(xiàn)部分或全部故障時，車輛仍然能夠安全停車�！�

他介紹了所有三個層次的安全機制：

一是計算：在嚴重計算機故障中不依賴于一個集中的計算節(jié)點，在架構中加入了足夠的冗余計算能力，就能使車輛安全停下來；

二是網(wǎng)絡：如果車輛內的網(wǎng)絡連接出現(xiàn)故障，雖然車內空間有限，不能創(chuàng)建一個完整的冗余網(wǎng)絡，但利用創(chuàng)新的雙環(huán)拓撲系統(tǒng)，即靈活性和可承受性的交叉點，每個節(jié)點連接到另外兩個節(jié)點，形成一個連續(xù)的環(huán)，信號通過每個節(jié)點，效率遠優(yōu)于傳統(tǒng)星型拓撲結構，可更好地處理重負載，并以一種負擔得起的方式實現(xiàn)所需冗余；

三是電源：軟件定義的汽車能像傳統(tǒng)汽車那樣只依靠一個動力源嗎？最近許多人都在說“不”。智能車輛架構解決方案采用了智能雙環(huán)電源和智能熔斷器，能夠以合理的價格提供故障操作性能。

被動安全和主動安全的區(qū)別

特斯拉可是軟件定義汽車的急先鋒，做的非常超前。而在自動駕駛汽車的研究到原型車，再到上路實車的進程中，它是否遵循了ISO26262標準呢？

BlackBerry QNX認證部門軟件開發(fā)工程師Chris Hobbs認為：“在某些行業(yè)，系統(tǒng)故障會給人類生命和財產(chǎn)造成嚴重損失，因此功能安全始終是一項必須滿足的要求�！�

他的說法與Glen De Vos如出一轍，為使系統(tǒng)真正安全，需要設置不同的功能安全級別。這反映在許多功能安全標準中，例如ISO26262、IEC61508、EN50128等。這些標準通常包含系統(tǒng)、硬件和軟件部分。通常，當硬件發(fā)生故障時，軟件可以避免災難性后果的出現(xiàn)。例如，空客A320發(fā)現(xiàn)引擎硬件失靈，在飛行控制軟件的幫助下，可以成功迫降。這就“功能安全”的有趣定義。

那么，功能安全與其他類型的安全有什么區(qū)別呢？他舉例說，如果有人拆掉某臺通信設備的光纖來觀察激光發(fā)射器，那么他的眼睛很可能會受傷。為避免此類問題，可以將激光發(fā)射器朝下安裝在靠近地面的位置，人們的視線就不會直視激光發(fā)射器；還可以開發(fā)一個能檢測到光纖是否被拆的軟件，并在光纖拆下后5毫秒內關閉激光。這兩種方法都能提高安全性。前者并沒有依賴任何手段來保持功能正常，進而確保系統(tǒng)安全，是被動安全的做法。后者才是功能（主動）安全的做法。

被動安全與安全帶等部件有關，而功能安全或主動安全則與ADAS（高級駕駛員輔助系統(tǒng)）有關。如果將系統(tǒng)比作一個巧克力蛋糕，那么功能安全絕不是蛋糕烘焙好之后添加上去的點綴，而是混合在蛋糕配料中的糖——是在最初就已加入的原料之一，并且是在蛋糕放進烤箱之前很久就已加入的。有誰會在蛋糕烘焙好之后再用注射器把糖注進去呢？那種“你可以立即構建這一功能嗎？我稍后會確認一下我們是否有ASIL（汽車安全完整性等級），之后你再將安全等級添加進去”的做法是行不通的。

由于車輛系統(tǒng)變得越來越復雜，功能也越來越豐富，在構造之初就已考慮功能安全的部件幾乎已成為一種必需。這類組件包括微控制器、微處理器、其他硬件外圍設備、操作系統(tǒng)、中間件以及協(xié)議棧，有時甚至是整個解決方案。

安全文化至關重要

QNX產(chǎn)品經(jīng)理Zheng Yi認為，安全文化是安全產(chǎn)品獲得成功的首要因素。對許多工程師來說，把握安全文化絕非易事。從根本上講，任何缺失安全文化的企業(yè)都無法創(chuàng)建一個安全的系統(tǒng)。ISO26262對安全文化的積極和消極特征進行了描述。例如，將重點放在產(chǎn)品開發(fā)結束時的測試，而不是在開發(fā)周期的早期進行設計分析、設計形式論證或者其他工作，就是消極的安全文化。

她強調說：“一家公司遵循ISO26262，并不意味著它就擁有安全文化。當開始選擇功能安全時，你可能會發(fā)現(xiàn)各家公司都有自己的獨門配方。你需要自己選擇最適合你的功能。到目前為止，對于選擇與安全性相關的產(chǎn)品，我們給出了三個主要需要考慮的因素：公司是否擁有安全文化？遵守標準的嚴格程度如何？產(chǎn)品是否有有效的功能安全？”

她總結道，在考慮安全性時要記�。菏紫龋�安全文化是基礎，沒有安全文化，就無法生產(chǎn)出安全的產(chǎn)品。其次，構建你相信可以打造出安全產(chǎn)品的系統(tǒng)，然后嘗試將其與標準對標，并查看存在哪些差距。第三，安全狀況報告是開發(fā)的重要組成部分，必須在整個開發(fā)過程中隨時遵循，而不是用作開發(fā)結束的標簽。

ADAS和自動駕駛的初衷都是安全

時至今日，ADAS遠未普及，其功能的升級未必可以達到高級自動駕駛。出于道路安全考慮，當務之急仍是做好和普及ADAS。毫無疑問，現(xiàn)在推進ADAS的初衷是為了安全，也是無人駕駛的關鍵落地點。目前歐美日均已將ADAS列入汽車安全法規(guī)，中國尚未納入。

主動安全系統(tǒng)是現(xiàn)代汽車輔助駕駛系統(tǒng)的重要組成部分。特斯拉曾在2019年第4季安全報告中信心滿滿地指出：自動駕駛系統(tǒng)或許遠比我們想象中要更加可靠。特斯拉售出車輛的事故數(shù)據(jù)表明，第4季在使用Autopilot自動駕駛功能情況下，平均每494萬公里發(fā)生一次事故；未使用Autopilot但有主動安全系統(tǒng)情況下，平均每338萬公里發(fā)生一次事故；兩者皆無平均每264萬公里就會發(fā)生一次事故。從這一點看，自動駕駛（ADAS）在作為駕駛輔助之余，對削減事故還是很有用的�，F(xiàn)在看，其可信度會大打折扣。

未來的自動駕駛（主動安全系統(tǒng)）應該在車輛出現(xiàn)故障或事故時可以把車開到安全地帶，甚至將受傷的人員送到醫(yī)院，那的確是未來的事情。

要不要舍命陪君子？

“果粉”也就算了，“特粉”可是在舍命陪君子。yieldHUB業(yè)務開發(fā)經(jīng)理Andre van de Geijn在討論芯片安全性時的說法很能說明問題：“這取決于芯片用在汽車的哪個部分。如果用在娛樂系統(tǒng)，可以使用與數(shù)百萬部手機相同的組件，你可以信任這些組件。如果你的手機故障率很高，立即可以換一個。許多主機廠說，這只是一個組件，我可以取出模塊，換上一個新的模塊。但如果是汽車管理控制單元，那就完全不同了�！�

為確定是否恰當?shù)剡x擇了某個產(chǎn)品，你需要清楚地了解該產(chǎn)品究竟可以為你帶來什么：如何使用該產(chǎn)品，可以用該產(chǎn)品做什么或不能用它來做什么。就像特斯拉剛推出Autopilot時稱之為“自動駕駛系統(tǒng)”而誤導了消費者，屢屢付出生命代價之后才更名為“自動輔助駕駛系統(tǒng)”。

Zheng Yi解釋說，安全產(chǎn)品常使用一些不同的名稱，導致了購買時的混亂情況。消費者需要對將要購買的產(chǎn)品建立清晰的認識，這一點非常重要。你必須多問幾個問題。

關于產(chǎn)品安全的幾個問題

安全才是第一位

說一千道一萬，安全法規(guī)，哪個造車的、買車的、開車的不懂？為了市場利益置安全于不顧，至少是不夠重視，實屬不該；反觀買車的就沒有責任嗎？已經(jīng)明知道這車不夠安全，為什么還要掏錢呢？