?3．15臨近時，特斯拉也是想來個大的廣告效應，國內外驚險大片不斷上演，看看幾次撞入白色大貨的最近一次，能起作用的功能只剩下了后尾燈在提示后車別靠近。這么先進豪華的車，那些主動安全功能——FCW（前車防撞預警系統）、AEB（自動制動輔助系統）都哪里去了？不管出事故時Autopilot系統是否開啟，也不管駕駛者踩幾次剎車，也不應該屢屢車毀人傷。

有分析后臺數據的（另一起失控事故，特斯拉服務中心稱“所有系統都是正常運行，沒有出現失控或剎車問題”），有解讀攝像頭很難分辨目標類型的，還有說電動汽車剎車與燃油車感覺不同的…… 其實車輛功能安全意識的缺失才是特斯拉的致命傷。

汽車功能安全怎能形同虛設？

一方面，在三電技術、整車制造、數據能力和輔助駕駛方面高度創新，被譽為引領行業進步的頭部車企；另一方面，特斯拉的問題也很突出。一言以蔽之，截止目前特斯拉出現的各種問題是多而雜。仔細觀察卻不難發現其類型有四：其一，整車制造工藝粗糙，產品缺乏一致性；其二，車內零部件易損；其三，不同國家和地區均出現“自燃”、“剎車失靈、突然加速”故障；其四，輔助駕駛安全事件不少。

前兩類問題屬于非安全性的產品工藝或質量問題，可能是蘿卜快了不洗泥，利益驅動急于擴大產能所致，只要廠商正常保修，一般消費者還可以接受；后兩類屬于車輛安全問題，往往造成嚴重后果，如果不斷出現，消費者和監管層都不會置若罔聞。

早在2012年，歐盟就規定2014年生產的新車必須配備AEB系統。以日本和歐盟為首的40個國家希望從2022年開始所有新車和輕型商用車配備AEB系統。中國的表現似乎還可以，調查表明，2020年中國乘用車市場AEB系統裝配率達到33．9％，同比增長近一倍。

早在2017年，特斯拉就為所有購買或沒有購買Autopilot巡航輔助升級包的車型配備了AEB系統。但是，該功能只有車速在144．8公里／小時（高速路限速最高120公里／小時）才可使用，這是不是有點忽悠人。

什么是汽車功能安全？

ISO26262《道路車輛功能安全》國際標準于2005年11月開始制定，經歷6年時間于2011年11月正式頒布，中國也制定了相應國標。ISO26262基于IEC61508（電氣／電子系統功能安全通用標準），更適用于汽車行業。

ISO26262是汽車系統設計的關鍵要素，也是主機廠需要遵循的功能安全要求。目前，歐洲所有主機廠都必須符合功能安全要求；美國主機廠也在研究如何實施功能安全；亞洲主機廠（豐田、現代、吉利等）也已經明確要求汽車功能安全。

為了更好地適應不斷更新的技術需求，2018年底發布的第二版ISO26262國際標準增加了車輛使用和環境條件，要求可預見駕駛員使用和濫用情況、車輛系統之間的交互行為，并評估每個識別出的危險情景——（Severity，嚴重程度）、（Exposure，暴露率）和（Controllability，可控性）。很顯然，作為一家豪華汽車品牌的特斯拉高檔車還沒有具備這樣的能力，這不能不說是一種悲哀。

專家解讀汽車功能安全

汽車為什么需要功能安全？汽車進步使然。今天的汽車電子系統越來越復雜，由電氣／電子系統故障導致的風險也越來越高；龐大的汽車數量和高頻率的使用，也對電氣／電子系統提出了更高的要求。

一般的汽車有上萬個零部件，100多個ECU（俗稱汽車電腦）。如何將這這么多零部件與ECU有序集成，實現不斷增長的舒適駕駛需求，是汽車行業十分嚴峻的挑戰。其中任何一個零部件、ECU的失效，都可能導致不可挽回的危害。因此，如何量化評估汽車功能是否安全，如何減少、規避風險，如何做到汽車功能安全等問題變得十分突出。

一些行業專家為我們講解了汽車功能安全的重要性，令人茅塞頓開，但并非針對特斯拉。

數據量今非昔比

應該說，特斯拉掌握的數據比誰都多。SAE（國際自動機工程師學會）全球地面車輛標準總監Jack Pokrzywa回顧說：“早在上世紀90年代初，我們就利用諸如事件數據記錄器或汽車‘黑匣子’之類的設備從汽車上收集到了數據，可以發現車輛碰撞前后的運行信息。現在的技術已經遠遠超過了當時，功能包括捕捉位置、天氣和交通狀況等外部信息；而車內傳感器可以收集乘客數據，以便在發生事故時提供有用的信息。此外，生物特征信息也已不在話下，傳感器還可以跟蹤駕駛者眼球運動，檢測其注意力，從而確定司機是否在開車時打盹或看手機。”

他也指出，任何運行在軟件上的設備都可能出現問題，要解決這些問題，就需要行業內，特別是主機廠及供應鏈之間的高度知識共享，還需要一個全球性的整體方法。

用整體方法解決汽車安全問題

安全是一個分層體系

Aptiv高級副總裁、首席技術官兼總裁Glen De Vos問道：“多年來，汽車的設計都是安全第一。但是，當汽車本身被改造的時候，安全性會怎樣呢？”

他表示：“在重新設計創建車輛架構的方法時，也要重新設計安全系統，以便在架構組件之一出現故障時確保駕駛員的安全。我們開發了一個三層故障操作設計，將彈性嵌入所有三層（計算、網絡、電源）。這意味著，在系統出現部分或全部故障時，車輛仍然能夠安全停車。”

他介紹了所有三個層次的安全機制：

一是計算：在嚴重計算機故障中不依賴于一個集中的計算節點，在架構中加入了足夠的冗余計算能力，就能使車輛安全停下來；

二是網絡：如果車輛內的網絡連接出現故障，雖然車內空間有限，不能創建一個完整的冗余網絡，但利用創新的雙環拓撲系統，即靈活性和可承受性的交叉點，每個節點連接到另外兩個節點，形成一個連續的環，信號通過每個節點，效率遠優于傳統星型拓撲結構，可更好地處理重負載，并以一種負擔得起的方式實現所需冗余；

三是電源：軟件定義的汽車能像傳統汽車那樣只依靠一個動力源嗎？最近許多人都在說“不”。智能車輛架構解決方案采用了智能雙環電源和智能熔斷器，能夠以合理的價格提供故障操作性能。

被動安全和主動安全的區別

特斯拉可是軟件定義汽車的急先鋒，做的非常超前。而在自動駕駛汽車的研究到原型車，再到上路實車的進程中，它是否遵循了ISO26262標準呢？

BlackBerry QNX認證部門軟件開發工程師Chris Hobbs認為：“在某些行業，系統故障會給人類生命和財產造成嚴重損失，因此功能安全始終是一項必須滿足的要求。”

他的說法與Glen De Vos如出一轍，為使系統真正安全，需要設置不同的功能安全級別。這反映在許多功能安全標準中，例如ISO26262、IEC61508、EN50128等。這些標準通常包含系統、硬件和軟件部分。通常，當硬件發生故障時，軟件可以避免災難性后果的出現。例如，空客A320發現引擎硬件失靈，在飛行控制軟件的幫助下，可以成功迫降。這就“功能安全”的有趣定義。

那么，功能安全與其他類型的安全有什么區別呢？他舉例說，如果有人拆掉某臺通信設備的光纖來觀察激光發射器，那么他的眼睛很可能會受傷。為避免此類問題，可以將激光發射器朝下安裝在靠近地面的位置，人們的視線就不會直視激光發射器；還可以開發一個能檢測到光纖是否被拆的軟件，并在光纖拆下后5毫秒內關閉激光。這兩種方法都能提高安全性。前者并沒有依賴任何手段來保持功能正常，進而確保系統安全，是被動安全的做法。后者才是功能（主動）安全的做法。

被動安全與安全帶等部件有關，而功能安全或主動安全則與ADAS（高級駕駛員輔助系統）有關。如果將系統比作一個巧克力蛋糕，那么功能安全絕不是蛋糕烘焙好之后添加上去的點綴，而是混合在蛋糕配料中的糖——是在最初就已加入的原料之一，并且是在蛋糕放進烤箱之前很久就已加入的。有誰會在蛋糕烘焙好之后再用注射器把糖注進去呢？那種“你可以立即構建這一功能嗎？我稍后會確認一下我們是否有ASIL（汽車安全完整性等級），之后你再將安全等級添加進去”的做法是行不通的。

由于車輛系統變得越來越復雜，功能也越來越豐富，在構造之初就已考慮功能安全的部件幾乎已成為一種必需。這類組件包括微控制器、微處理器、其他硬件外圍設備、操作系統、中間件以及協議棧，有時甚至是整個解決方案。

安全文化至關重要

QNX產品經理Zheng Yi認為，安全文化是安全產品獲得成功的首要因素。對許多工程師來說，把握安全文化絕非易事。從根本上講，任何缺失安全文化的企業都無法創建一個安全的系統。ISO26262對安全文化的積極和消極特征進行了描述。例如，將重點放在產品開發結束時的測試，而不是在開發周期的早期進行設計分析、設計形式論證或者其他工作，就是消極的安全文化。

她強調說：“一家公司遵循ISO26262，并不意味著它就擁有安全文化。當開始選擇功能安全時，你可能會發現各家公司都有自己的獨門配方。你需要自己選擇最適合你的功能。到目前為止，對于選擇與安全性相關的產品，我們給出了三個主要需要考慮的因素：公司是否擁有安全文化？遵守標準的嚴格程度如何？產品是否有有效的功能安全？”

她總結道，在考慮安全性時要記住：首先，安全文化是基礎，沒有安全文化，就無法生產出安全的產品。其次，構建你相信可以打造出安全產品的系統，然后嘗試將其與標準對標，并查看存在哪些差距。第三，安全狀況報告是開發的重要組成部分，必須在整個開發過程中隨時遵循，而不是用作開發結束的標簽。

ADAS和自動駕駛的初衷都是安全

時至今日，ADAS遠未普及，其功能的升級未必可以達到高級自動駕駛。出于道路安全考慮，當務之急仍是做好和普及ADAS。毫無疑問，現在推進ADAS的初衷是為了安全，也是無人駕駛的關鍵落地點。目前歐美日均已將ADAS列入汽車安全法規，中國尚未納入。

主動安全系統是現代汽車輔助駕駛系統的重要組成部分。特斯拉曾在2019年第4季安全報告中信心滿滿地指出：自動駕駛系統或許遠比我們想象中要更加可靠。特斯拉售出車輛的事故數據表明，第4季在使用Autopilot自動駕駛功能情況下，平均每494萬公里發生一次事故；未使用Autopilot但有主動安全系統情況下，平均每338萬公里發生一次事故；兩者皆無平均每264萬公里就會發生一次事故。從這一點看，自動駕駛（ADAS）在作為駕駛輔助之余，對削減事故還是很有用的。現在看，其可信度會大打折扣。

未來的自動駕駛（主動安全系統）應該在車輛出現故障或事故時可以把車開到安全地帶，甚至將受傷的人員送到醫院，那的確是未來的事情。

要不要舍命陪君子？

“果粉”也就算了，“特粉”可是在舍命陪君子。yieldHUB業務開發經理Andre van de Geijn在討論芯片安全性時的說法很能說明問題：“這取決于芯片用在汽車的哪個部分。如果用在娛樂系統，可以使用與數百萬部手機相同的組件，你可以信任這些組件。如果你的手機故障率很高，立即可以換一個。許多主機廠說，這只是一個組件，我可以取出模塊，換上一個新的模塊。但如果是汽車管理控制單元，那就完全不同了。”

為確定是否恰當地選擇了某個產品，你需要清楚地了解該產品究竟可以為你帶來什么：如何使用該產品，可以用該產品做什么或不能用它來做什么。就像特斯拉剛推出Autopilot時稱之為“自動駕駛系統”而誤導了消費者，屢屢付出生命代價之后才更名為“自動輔助駕駛系統”。

Zheng Yi解釋說，安全產品常使用一些不同的名稱，導致了購買時的混亂情況。消費者需要對將要購買的產品建立清晰的認識，這一點非常重要。你必須多問幾個問題。

關于產品安全的幾個問題

安全才是第一位

說一千道一萬，安全法規，哪個造車的、買車的、開車的不懂？為了市場利益置安全于不顧，至少是不夠重視，實屬不該；反觀買車的就沒有責任嗎？已經明知道這車不夠安全，為什么還要掏錢呢？