近期，“特斯拉潮州連撞數(shù)人事故”迎來廣泛關(guān)注。

　　截至目前，事故原因正在調(diào)查之中。不過可以確定的是，在該事故中，駕駛員出于未知原因?qū)�車輛失去了控制。在這里我們不談事故情況，而是重點(diǎn)關(guān)注一下長(zhǎng)期以來被忽視的智能汽車電子電控安全問題。

　　在傳統(tǒng)燃油車時(shí)代，汽車的安全性主要分為主動(dòng)安全和被動(dòng)安全。這兩個(gè)概念非常簡(jiǎn)單，主動(dòng)安全指的是汽車在沒有發(fā)生事故或發(fā)生事故前能夠預(yù)防和避免發(fā)生事故的一些安全配置，而被動(dòng)安全則是指汽車發(fā)生事故時(shí)能夠*限度保護(hù)車內(nèi)成員以及車外行人的安全系統(tǒng)。

　　舉例來說，主動(dòng)安全系統(tǒng)指的是ABS防抱死系統(tǒng)以及ESP車身電子穩(wěn)定系統(tǒng)等電子設(shè)備、主動(dòng)剎車等功能，而被動(dòng)安全系統(tǒng)則設(shè)計(jì)車體吸能結(jié)構(gòu)、安全帶、安全氣囊等。

　　如近期問界M7參加的中保研碰撞測(cè)試，在正副駕駛25%偏置碰撞中A柱變形，但車內(nèi)安全氣囊保護(hù)非常到位，依然通過測(cè)試。這即是典型的被動(dòng)安全。

　　實(shí)際上，從燃油車時(shí)代開始，碰撞測(cè)試就成了檢驗(yàn)汽車安全性的一個(gè)關(guān)鍵手段。中保研、美國(guó)NHTSA、歐洲NCAP等碰撞測(cè)試成績(jī)，均主要針對(duì)車輛被動(dòng)安全領(lǐng)域以及輔助安全上。

　　到了新能源車時(shí)代，這種傳統(tǒng)依然沿襲了下來。不過，新能源汽車有著自身獨(dú)特的技術(shù)架構(gòu)和核心特色，也正因此，新能源汽車也增加了電池安全和輔助駕駛安全兩大測(cè)試。

　　在過去幾年間，電池起火、輔助駕駛失誤導(dǎo)致的事故層出不窮。也正因此，在電池領(lǐng)域，曾經(jīng)針刺試驗(yàn)一度成為電池安全的核心標(biāo)準(zhǔn)，但很顯然，這種實(shí)驗(yàn)也很難解決電池安全問題。截至目前，各個(gè)廠商分別推出了自身的電池安全技術(shù)和BMS電池管理方案，新能源汽車電池起火事故相對(duì)減少。

　　而在輔助駕駛上，此前各車企將自動(dòng)駕駛當(dāng)作自身賣點(diǎn)，但在當(dāng)前自動(dòng)駕駛算法的局限下，當(dāng)前車輛很難突破L3自動(dòng)駕駛級(jí)別。當(dāng)L2級(jí)輔助駕駛成為車輛上限時(shí)，各個(gè)廠商也逐漸變得低調(diào)，開始主打自身輔助駕駛功能。

　　但是，無論是傳統(tǒng)燃油車時(shí)代的主動(dòng)安全和被動(dòng)安全，還是新能源時(shí)代新增的電池安全和輔助駕駛安全，其根本完全窮盡現(xiàn)階段所謂智能汽車的安全隱患問題。在這些領(lǐng)域之外，最被忽視的正是智能汽車的電控安全問題。

　　01

　　汽車電子控制的黃金時(shí)代

　　電池、電機(jī)、電控被合稱為新能源汽車的三大關(guān)鍵技術(shù)。但是，電控早在燃油車時(shí)代就已經(jīng)在汽車上得到了廣泛普及。

　　汽車電控即是汽車電子控制系統(tǒng)，基本由傳感器、電子控制器(ECU)、驅(qū)動(dòng)器和控制程序軟件等部分組成，以電信號(hào)來傳輸汽車的控制指令。

　　但是，從燃油車向新能源汽車再向智能汽車的過渡，卻帶來了汽車電控系統(tǒng)的全面變革。

　　汽車發(fā)展初期，汽車控制完全是機(jī)械式的。而隨著汽車電子發(fā)展，ECU替代機(jī)械，逐漸成為汽車諸多功能的電子控制單元。

　　早期，ECU應(yīng)用完全以功能為導(dǎo)向，單個(gè)元件基本負(fù)責(zé)單個(gè)功能，如玻璃升降控制、引擎控制、安全氣囊、防抱死系統(tǒng)、助力轉(zhuǎn)向，再到智能儀表、影音娛樂系統(tǒng)，再到電動(dòng)汽車上的電驅(qū)控制、電池管理系統(tǒng)等均需要單獨(dú)ECU來進(jìn)行控制。這帶來的結(jié)果正是，隨著汽車功能越來越復(fù)雜，ECU也越來越多。

　　如1994年*代奧迪A8僅使用5個(gè)ECU，來控制發(fā)動(dòng)機(jī)工作。但到2010年，奧迪A8已經(jīng)使用了超過100個(gè)ECU，用于動(dòng)力系統(tǒng)、底盤控制、智能駕駛等功能上。

　　但是，隨著ECU越來越多，汽車電子電氣架構(gòu)越來越復(fù)雜。為解決這一問題，2017年汽車零部件供應(yīng)商博世提出了EEA的戰(zhàn)略發(fā)展圖，分為模塊化、集成化、集中化、域融合、車載電腦、車-云計(jì)算六個(gè)小階段，整體來說即是電子電氣架構(gòu)越來越集中、汽車電子軟硬件解耦且軟件、算法影響力越來越大。

　　在這種趨勢(shì)下，以往汽車上分布式電子電氣架構(gòu)逐步向域集中架構(gòu)轉(zhuǎn)變。而特斯拉的出現(xiàn)，帶來了EEA的集中化變革，在量產(chǎn)車上帶來了電控架構(gòu)的新布局。

　　具體來看，特斯拉Model 3將數(shù)百個(gè)ECU控制的功能整合成了左域控制器、前域控制器、右域控制器和中央計(jì)算單元。比如左域控制器就能控制車輛左邊的一些電氣系統(tǒng)，左邊車窗、車門、部分底盤、部分動(dòng)力系統(tǒng)等。

　　在這種集成式架構(gòu)下，原本通過分離ECU實(shí)現(xiàn)的功能現(xiàn)在可以放到域主控處理器上實(shí)現(xiàn)，帶來了域控的平臺(tái)化和標(biāo)準(zhǔn)化，也實(shí)現(xiàn)了OTA等功能。

　　但是，這種集中式架構(gòu)也帶來了新的安全挑戰(zhàn)。

　　02

　　域控制電子電氣架構(gòu)的安全挑戰(zhàn)

　　在分布式電子電氣架構(gòu)中，車輛不同功能由不同ECU來控制。而不同汽車功能的汽車電控元件，都有著不同的功能安全等級(jí)以及處理優(yōu)先級(jí)，其軟件和算法甚至必須運(yùn)行在不同的底層實(shí)時(shí)系統(tǒng)上。

　　而集成式電子電氣架構(gòu)，原本由多個(gè)ECU完成的功能，現(xiàn)在需要依靠單一的域主控處理器來完成，還需要管理和控制所連接的各種傳感器與執(zhí)行器等。這就對(duì)硬件和軟件均提出了高度要求。

　　具體來看，以往ECU軟硬件結(jié)合負(fù)責(zé)單一功能，但在集中式架構(gòu)中，軟件和算法被“收歸中央”，整合到域控制器上，這必然會(huì)導(dǎo)致域控制器的軟件體系更為復(fù)雜，也會(huì)導(dǎo)致整個(gè)軟件系統(tǒng)的出錯(cuò)概率增加、可靠性下降。這一問題雖然能夠通過硬件虛擬化技術(shù)進(jìn)行分區(qū)處理，但復(fù)雜軟件系統(tǒng)本身的不可靠性依然未能完全解決。

　　更重要的是，在汽車電子系統(tǒng)中，不同應(yīng)用對(duì)其實(shí)時(shí)性和功能安全等級(jí)要求差異巨大。如根據(jù)ISO 26262標(biāo)準(zhǔn)，汽車儀表系統(tǒng)與娛樂信息系統(tǒng)屬于不同的安全等級(jí)，具有不同的處理優(yōu)先級(jí)。這也很好理解，在汽車行駛中，娛樂信息系統(tǒng)死機(jī)或重啟并不影響駕駛安全性，但汽車儀表系統(tǒng)出錯(cuò)卻會(huì)在一定程度上對(duì)司機(jī)駕駛安全造成巨大威脅。事實(shí)上，汽車儀表系統(tǒng)突然失靈事件，在當(dāng)前新能源汽車上并不算罕見。

　　又如特斯拉電動(dòng)汽車備受爭(zhēng)議的“單踏板”模式，一個(gè)加速踏板控制車輛的加速和減速，由同一傳感器和處理器控制，但是在理論上，加速功能的安全等級(jí)應(yīng)該遠(yuǎn)低于剎車功能，至于動(dòng)能回收，則處理優(yōu)先級(jí)更是遠(yuǎn)低于加速功能。

　　這也是集成式電子電氣架構(gòu)的關(guān)鍵問題，即如何保障軟件系統(tǒng)的可靠性。但截止于目前，關(guān)于汽車電子電氣架構(gòu)軟件系統(tǒng)魯棒性的第三方測(cè)試卻完全缺席。

　　汽車，畢竟不是手機(jī)。無論技術(shù)多么先進(jìn)，汽車作為一種出行工具，其*要義即在于安全性。時(shí)至今日，手機(jī)系統(tǒng)失靈、死機(jī)現(xiàn)象仍然屢見不鮮，各種小BUG更是層出不窮，我們已經(jīng)司空見慣。但是，對(duì)于汽車來說，一個(gè)BUG出現(xiàn)，或許就是嚴(yán)重的安全事故。

　　03

　　軟件和算法的“車規(guī)級(jí)”迫在眉睫

　　在汽車制造領(lǐng)域，有一個(gè)重要名詞叫做“車規(guī)級(jí)”，用來形容汽車零部件的專用標(biāo)準(zhǔn)。

　　如車規(guī)級(jí)芯片，對(duì)溫度要求需要達(dá)到-40~125°C，而消費(fèi)級(jí)芯片僅需滿足0-70°C要求即可。前者出錯(cuò)率必須為0，而后者出錯(cuò)率僅需滿足<3%即可。在使用上，車規(guī)級(jí)芯片需要滿足15年使用要求，而消費(fèi)級(jí)芯片僅需使用1-3年時(shí)間。

　　可以看到，車規(guī)級(jí)產(chǎn)品有著遠(yuǎn)高于消費(fèi)類產(chǎn)品的標(biāo)準(zhǔn)要求，這也是基于汽車使用環(huán)境帶來的高安全標(biāo)準(zhǔn)。

　　實(shí)際上，車規(guī)級(jí)本身即是一批汽車廠商聯(lián)合制定的行業(yè)標(biāo)準(zhǔn)。但是，在智能汽車方興未艾的新階段，行業(yè)內(nèi)對(duì)于智能汽車的新形態(tài)上卻缺乏嚴(yán)格的標(biāo)準(zhǔn)制定。

　　例如在智能座艙芯片上，部分車企并沒有采用車規(guī)級(jí)解決方案，而是采用消費(fèi)級(jí)芯片改裝轉(zhuǎn)換而來。但這畢竟是智能座艙芯片，其安全等級(jí)并不算高。

　　不過整體而言，汽車硬件上問題并不突出，而軟件和算法目前尚處于標(biāo)準(zhǔn)缺失的空白地帶。

　　隨著汽車電子電氣架構(gòu)變革時(shí)代來臨，車企們紛紛開啟了自研軟件和算法。在這一領(lǐng)域，雖然有著ISO 26262功能安全標(biāo)準(zhǔn)約束，但在汽車企業(yè)激進(jìn)的架構(gòu)設(shè)計(jì)上，軟件算法的功能安全卻始終缺乏有效的保障。在汽車上，一旦算法出現(xiàn)問題，汽車很容易就會(huì)出現(xiàn)違背駕駛員意志的失靈，導(dǎo)致不可挽回的結(jié)果。

　　更為重要的是，某些軟件或算法的BUG出現(xiàn)相當(dāng)隨機(jī)，在仿真測(cè)試或者真車實(shí)驗(yàn)中或許根本難以顯露出來。

　　這正是目前集成式電控系統(tǒng)面臨的關(guān)鍵挑戰(zhàn)。事實(shí)上，這一問題也并不復(fù)雜。對(duì)于車企來說，優(yōu)先級(jí)更高、安全等級(jí)更高的功能，至少應(yīng)該保持更為獨(dú)立的系統(tǒng)。在關(guān)鍵功能上，至少將最高權(quán)限還給駕駛員自身，而非由程序算法閉環(huán)控制。

　　此外，行業(yè)對(duì)于汽車軟件系統(tǒng)和算法的測(cè)試必須提上日程。作為車輛的一部分，軟件和算法必須在經(jīng)歷千錘百煉的檢測(cè)之后，才能展現(xiàn)出其穩(wěn)定性和魯棒性，進(jìn)而保障汽車整體系統(tǒng)的安全性。

　　畢竟，代碼是不可信任的，尤其是汽車。