编者按:特斯拉故障或安全事故频繁出现在新闻报道中,以至于这次315之后,分析为何特斯拉没有上榜的文章出现了一大批。这一方面说明,过去的一年特斯拉在中国市场狂飙猛进,其故障与安全隐患已经由小众关注的事件变为大众关注的社会事件,如不及时处理,以后累积的风险会越来越大;另一方面,无论中国,还是美国,对于特斯拉都相当宽容,从好的角度来讲,这是对创新的宽容,但姑息养奸,自动驾驶系统的完善不应以驾乘者安全为代价来获取。
文︱立厷
3.15临近时,特斯拉也是想来个大的广告效应,国内外惊险大片不断上演,看看几次撞入白色大货的最近一次,能起作用的功能只剩下了后尾灯在提示后车别靠近。这么先进豪华的车,那些主动安全功能——FCW(前车防撞预警系统)、AEB(自动制动辅助系统)都哪里去了?不管出事故时Autopilot系统是否开启,也不管驾驶者踩几次刹车,也不应该屡屡车毁人伤。
有分析后台数据的(另一起失控事故,特斯拉服务中心称“所有系统都是正常运行,没有出现失控或刹车问题”),有解读摄像头很难分辨目标类型的,还有说电动汽车刹车与燃油车感觉不同的…… 其实车辆功能安全意识的缺失才是特斯拉的致命伤。
汽车功能安全怎能形同虚设?
一方面,在三电技术、整车制造、数据能力和辅助驾驶方面高度创新,被誉为引领行业进步的头部车企;另一方面,特斯拉的问题也很突出。一言以蔽之,截止目前特斯拉出现的各种问题是多而杂。仔细观察却不难发现其类型有四:其一,整车制造工艺粗糙,产品缺乏一致性;其二,车内零部件易损;其三,不同国家和地区均出现“自燃”、“刹车失灵、突然加速”故障;其四,辅助驾驶安全事件不少。
前两类问题属于非安全性的产品工艺或质量问题,可能是萝卜快了不洗泥,利益驱动急于扩大产能所致,只要厂商正常保修,一般消费者还可以接受;后两类属于车辆安全问题,往往造成严重后果,如果不断出现,消费者和监管层都不会置若罔闻。
早在2012年,欧盟就规定2014年生产的新车必须配备AEB系统。以日本和欧盟为首的40个国家希望从2022年开始所有新车和轻型商用车配备AEB系统。中国的表现似乎还可以,调查表明,2020年中国乘用车市场AEB系统装配率达到33.9%,同比增长近一倍。
早在2017年,特斯拉就为所有购买或没有购买Autopilot巡航辅助升级包的车型配备了AEB系统。但是,该功能只有车速在144.8公里/小时(高速路限速最高120公里/小时)才可使用,这是不是有点忽悠人。
什么是汽车功能安全?
ISO26262《道路车辆功能安全》国际标准于2005年11月开始制定,经历6年时间于2011年11月正式颁布,中国也制定了相应国标。ISO26262基于IEC61508(电气/电子系统功能安全通用标准),更适用于汽车行业。
ISO26262是汽车系统设计的关键要素,也是主机厂需要遵循的功能安全要求。目前,欧洲所有主机厂都必须符合功能安全要求;美国主机厂也在研究如何实施功能安全;亚洲主机厂(丰田、现代、吉利等)也已经明确要求汽车功能安全。
为了更好地适应不断更新的技术需求,2018年底发布的第二版ISO26262国际标准增加了车辆使用和环境条件,要求可预见驾驶员使用和滥用情况、车辆系统之间的交互行为,并评估每个识别出的危险情景——(Severity,严重程度)、(Exposure,暴露率)和(Controllability,可控性)。很显然,作为一家豪华汽车品牌的特斯拉高档车还没有具备这样的能力,这不能不说是一种悲哀。
专家解读汽车功能安全
汽车为什么需要功能安全?汽车进步使然。今天的汽车电子系统越来越复杂,由电气/电子系统故障导致的风险也越来越高;庞大的汽车数量和高频率的使用,也对电气/电子系统提出了更高的要求。
一般的汽车有上万个零部件,100多个ECU(俗称汽车电脑)。如何将这这么多零部件与ECU有序集成,实现不断增长的舒适驾驶需求,是汽车行业十分严峻的挑战。其中任何一个零部件、ECU的失效,都可能导致不可挽回的危害。因此,如何量化评估汽车功能是否安全,如何减少、规避风险,如何做到汽车功能安全等问题变得十分突出。
一些行业专家为我们讲解了汽车功能安全的重要性,令人茅塞顿开,但并非针对特斯拉。
数据量今非昔比
应该说,特斯拉掌握的数据比谁都多。SAE(国际自动机工程师学会)全球地面车辆标准总监Jack Pokrzywa回顾说:“早在上世纪90年代初,我们就利用诸如事件数据记录器或汽车‘黑匣子’之类的设备从汽车上收集到了数据,可以发现车辆碰撞前后的运行信息。现在的技术已经远远超过了当时,功能包括捕捉位置、天气和交通状况等外部信息;而车内传感器可以收集乘客数据,以便在发生事故时提供有用的信息。此外,生物特征信息也已不在话下,传感器还可以跟踪驾驶者眼球运动,检测其注意力,从而确定司机是否在开车时打盹或看手机。”
他也指出,任何运行在软件上的设备都可能出现问题,要解决这些问题,就需要行业内,特别是主机厂及供应链之间的高度知识共享,还需要一个全球性的整体方法。
用整体方法解决汽车安全问题
安全是一个分层体系
Aptiv高级副总裁、首席技术官兼总裁Glen De Vos问道:“多年来,汽车的设计都是安全第一。但是,当汽车本身被改造的时候,安全性会怎样呢?”
他表示:“在重新设计创建车辆架构的方法时,也要重新设计安全系统,以便在架构组件之一出现故障时确保驾驶员的安全。我们开发了一个三层故障操作设计,将弹性嵌入所有三层(计算、网络、电源)。这意味着,在系统出现部分或全部故障时,车辆仍然能够安全停车。”
他介绍了所有三个层次的安全机制:
一是计算:在严重计算机故障中不依赖于一个集中的计算节点,在架构中加入了足够的冗余计算能力,就能使车辆安全停下来;
二是网络:如果车辆内的网络连接出现故障,虽然车内空间有限,不能创建一个完整的冗余网络,但利用创新的双环拓扑系统,即灵活性和可承受性的交叉点,每个节点连接到另外两个节点,形成一个连续的环,信号通过每个节点,效率远优于传统星型拓扑结构,可更好地处理重负载,并以一种负担得起的方式实现所需冗余;
三是电源:软件定义的汽车能像传统汽车那样只依靠一个动力源吗?最近许多人都在说“不”。智能车辆架构解决方案采用了智能双环电源和智能熔断器,能够以合理的价格提供故障操作性能。
被动安全和主动安全的区别
特斯拉可是软件定义汽车的急先锋,做的非常超前。而在自动驾驶汽车的研究到原型车,再到上路实车的进程中,它是否遵循了ISO26262标准呢?
BlackBerry QNX认证部门软件开发工程师Chris Hobbs认为:“在某些行业,系统故障会给人类生命和财产造成严重损失,因此功能安全始终是一项必须满足的要求。”
他的说法与Glen De Vos如出一辙,为使系统真正安全,需要设置不同的功能安全级别。这反映在许多功能安全标准中,例如ISO26262、IEC61508、EN50128等。这些标准通常包含系统、硬件和软件部分。通常,当硬件发生故障时,软件可以避免灾难性后果的出现。例如,空客A320发现引擎硬件失灵,在飞行控制软件的帮助下,可以成功迫降。这就“功能安全”的有趣定义。
那么,功能安全与其他类型的安全有什么区别呢?他举例说,如果有人拆掉某台通信设备的光纤来观察激光发射器,那么他的眼睛很可能会受伤。为避免此类问题,可以将激光发射器朝下安装在靠近地面的位置,人们的视线就不会直视激光发射器;还可以开发一个能检测到光纤是否被拆的软件,并在光纤拆下后5毫秒内关闭激光。这两种方法都能提高安全性。前者并没有依赖任何手段来保持功能正常,进而确保系统安全,是被动安全的做法。后者才是功能(主动)安全的做法。
被动安全与安全带等部件有关,而功能安全或主动安全则与ADAS(高级驾驶员辅助系统)有关。如果将系统比作一个巧克力蛋糕,那么功能安全绝不是蛋糕烘焙好之后添加上去的点缀,而是混合在蛋糕配料中的糖——是在最初就已加入的原料之一,并且是在蛋糕放进烤箱之前很久就已加入的。有谁会在蛋糕烘焙好之后再用注射器把糖注进去呢?那种“你可以立即构建这一功能吗?我稍后会确认一下我们是否有ASIL(汽车安全完整性等级),之后你再将安全等级添加进去”的做法是行不通的。
由于车辆系统变得越来越复杂,功能也越来越丰富,在构造之初就已考虑功能安全的部件几乎已成为一种必需。这类组件包括微控制器、微处理器、其他硬件外围设备、操作系统、中间件以及协议栈,有时甚至是整个解决方案。
安全文化至关重要
QNX产品经理Zheng Yi认为,安全文化是安全产品获得成功的首要因素。对许多工程师来说,把握安全文化绝非易事。从根本上讲,任何缺失安全文化的企业都无法创建一个安全的系统。ISO26262对安全文化的积极和消极特征进行了描述。例如,将重点放在产品开发结束时的测试,而不是在开发周期的早期进行设计分析、设计形式论证或者其他工作,就是消极的安全文化。
她强调说:“一家公司遵循ISO26262,并不意味着它就拥有安全文化。当开始选择功能安全时,你可能会发现各家公司都有自己的独门配方。你需要自己选择最适合你的功能。到目前为止,对于选择与安全性相关的产品,我们给出了三个主要需要考虑的因素:公司是否拥有安全文化?遵守标准的严格程度如何?产品是否有有效的功能安全?”
她总结道,在考虑安全性时要记住:首先,安全文化是基础,没有安全文化,就无法生产出安全的产品。其次,构建你相信可以打造出安全产品的系统,然后尝试将其与标准对标,并查看存在哪些差距。第三,安全状况报告是开发的重要组成部分,必须在整个开发过程中随时遵循,而不是用作开发结束的标签。
ADAS和自动驾驶的初衷都是安全
时至今日,ADAS远未普及,其功能的升级未必可以达到高级自动驾驶。出于道路安全考虑,当务之急仍是做好和普及ADAS。毫无疑问,现在推进ADAS的初衷是为了安全,也是无人驾驶的关键落地点。目前欧美日均已将ADAS列入汽车安全法规,中国尚未纳入。
主动安全系统是现代汽车辅助驾驶系统的重要组成部分。特斯拉曾在2019年第4季安全报告中信心满满地指出:自动驾驶系统或许远比我们想象中要更加可靠。特斯拉售出车辆的事故数据表明,第4季在使用Autopilot自动驾驶功能情况下,平均每494万公里发生一次事故;未使用Autopilot但有主动安全系统情况下,平均每338万公里发生一次事故;两者皆无平均每264万公里就会发生一次事故。从这一点看,自动驾驶(ADAS)在作为驾驶辅助之余,对削减事故还是很有用的。现在看,其可信度会大打折扣。
未来的自动驾驶(主动安全系统)应该在车辆出现故障或事故时可以把车开到安全地带,甚至将受伤的人员送到医院,那的确是未来的事情。
要不要舍命陪君子?
“果粉”也就算了,“特粉”可是在舍命陪君子。yieldHUB业务开发经理Andre van de Geijn在讨论芯片安全性时的说法很能说明问题:“这取决于芯片用在汽车的哪个部分。如果用在娱乐系统,可以使用与数百万部手机相同的组件,你可以信任这些组件。如果你的手机故障率很高,立即可以换一个。许多主机厂说,这只是一个组件,我可以取出模块,换上一个新的模块。但如果是汽车管理控制单元,那就完全不同了。”
为确定是否恰当地选择了某个产品,你需要清楚地了解该产品究竟可以为你带来什么:如何使用该产品,可以用该产品做什么或不能用它来做什么。就像特斯拉刚推出Autopilot时称之为“自动驾驶系统”而误导了消费者,屡屡付出生命代价之后才更名为“自动辅助驾驶系统”。
Zheng Yi解释说,安全产品常使用一些不同的名称,导致了购买时的混乱情况。消费者需要对将要购买的产品建立清晰的认识,这一点非常重要。你必须多问几个问题。
关于产品安全的几个问题
安全才是第一位
说一千道一万,安全法规,哪个造车的、买车的、开车的不懂?为了市场利益置安全于不顾,至少是不够重视,实属不该;反观买车的就没有责任吗?已经明知道这车不够安全,为什么还要掏钱呢?