近期,“特斯拉潮州连撞数人事故”迎来广泛关注。
截至目前,事故原因正在调查之中。不过可以确定的是,在该事故中,驾驶员出于未知原因对车辆失去了控制。在这里我们不谈事故情况,而是重点关注一下长期以来被忽视的智能汽车电子电控安全问题。
在传统燃油车时代,汽车的安全性主要分为主动安全和被动安全。这两个概念非常简单,主动安全指的是汽车在没有发生事故或发生事故前能够预防和避免发生事故的一些安全配置,而被动安全则是指汽车发生事故时能够*限度保护车内成员以及车外行人的安全系统。
举例来说,主动安全系统指的是ABS防抱死系统以及ESP车身电子稳定系统等电子设备、主动刹车等功能,而被动安全系统则设计车体吸能结构、安全带、安全气囊等。
如近期问界M7参加的中保研碰撞测试,在正副驾驶25%偏置碰撞中A柱变形,但车内安全气囊保护非常到位,依然通过测试。这即是典型的被动安全。
实际上,从燃油车时代开始,碰撞测试就成了检验汽车安全性的一个关键手段。中保研、美国NHTSA、欧洲NCAP等碰撞测试成绩,均主要针对车辆被动安全领域以及辅助安全上。
到了新能源车时代,这种传统依然沿袭了下来。不过,新能源汽车有着自身独特的技术架构和核心特色,也正因此,新能源汽车也增加了电池安全和辅助驾驶安全两大测试。
在过去几年间,电池起火、辅助驾驶失误导致的事故层出不穷。也正因此,在电池领域,曾经针刺试验一度成为电池安全的核心标准,但很显然,这种实验也很难解决电池安全问题。截至目前,各个厂商分别推出了自身的电池安全技术和BMS电池管理方案,新能源汽车电池起火事故相对减少。
而在辅助驾驶上,此前各车企将自动驾驶当作自身卖点,但在当前自动驾驶算法的局限下,当前车辆很难突破L3自动驾驶级别。当L2级辅助驾驶成为车辆上限时,各个厂商也逐渐变得低调,开始主打自身辅助驾驶功能。
但是,无论是传统燃油车时代的主动安全和被动安全,还是新能源时代新增的电池安全和辅助驾驶安全,其根本完全穷尽现阶段所谓智能汽车的安全隐患问题。在这些领域之外,最被忽视的正是智能汽车的电控安全问题。
01 汽车电子控制的黄金时代
电池、电机、电控被合称为新能源汽车的三大关键技术。但是,电控早在燃油车时代就已经在汽车上得到了广泛普及。
汽车电控即是汽车电子控制系统,基本由传感器、电子控制器(ECU)、驱动器和控制程序软件等部分组成,以电信号来传输汽车的控制指令。
但是,从燃油车向新能源汽车再向智能汽车的过渡,却带来了汽车电控系统的全面变革。
汽车发展初期,汽车控制完全是机械式的。而随着汽车电子发展,ECU替代机械,逐渐成为汽车诸多功能的电子控制单元。
早期,ECU应用完全以功能为导向,单个元件基本负责单个功能,如玻璃升降控制、引擎控制、安全气囊、防抱死系统、助力转向,再到智能仪表、影音娱乐系统,再到电动汽车上的电驱控制、电池管理系统等均需要单独ECU来进行控制。这带来的结果正是,随着汽车功能越来越复杂,ECU也越来越多。
如1994年*代奥迪A8仅使用5个ECU,来控制发动机工作。但到2010年,奥迪A8已经使用了超过100个ECU,用于动力系统、底盘控制、智能驾驶等功能上。
但是,随着ECU越来越多,汽车电子电气架构越来越复杂。为解决这一问题,2017年汽车零部件供应商博世提出了EEA的战略发展图,分为模块化、集成化、集中化、域融合、车载电脑、车-云计算六个小阶段,整体来说即是电子电气架构越来越集中、汽车电子软硬件解耦且软件、算法影响力越来越大。
在这种趋势下,以往汽车上分布式电子电气架构逐步向域集中架构转变。而特斯拉的出现,带来了EEA的集中化变革,在量产车上带来了电控架构的新布局。
具体来看,特斯拉Model 3将数百个ECU控制的功能整合成了左域控制器、前域控制器、右域控制器和中央计算单元。比如左域控制器就能控制车辆左边的一些电气系统,左边车窗、车门、部分底盘、部分动力系统等。
在这种集成式架构下,原本通过分离ECU实现的功能现在可以放到域主控处理器上实现,带来了域控的平台化和标准化,也实现了OTA等功能。
但是,这种集中式架构也带来了新的安全挑战。
02 域控制电子电气架构的安全挑战
在分布式电子电气架构中,车辆不同功能由不同ECU来控制。而不同汽车功能的汽车电控元件,都有着不同的功能安全等级以及处理优先级,其软件和算法甚至必须运行在不同的底层实时系统上。
而集成式电子电气架构,原本由多个ECU完成的功能,现在需要依靠单一的域主控处理器来完成,还需要管理和控制所连接的各种传感器与执行器等。这就对硬件和软件均提出了高度要求。
具体来看,以往ECU软硬件结合负责单一功能,但在集中式架构中,软件和算法被“收归中央”,整合到域控制器上,这必然会导致域控制器的软件体系更为复杂,也会导致整个软件系统的出错概率增加、可靠性下降。这一问题虽然能够通过硬件虚拟化技术进行分区处理,但复杂软件系统本身的不可靠性依然未能完全解决。
更重要的是,在汽车电子系统中,不同应用对其实时性和功能安全等级要求差异巨大。如根据ISO 26262标准,汽车仪表系统与娱乐信息系统属于不同的安全等级,具有不同的处理优先级。这也很好理解,在汽车行驶中,娱乐信息系统死机或重启并不影响驾驶安全性,但汽车仪表系统出错却会在一定程度上对司机驾驶安全造成巨大威胁。事实上,汽车仪表系统突然失灵事件,在当前新能源汽车上并不算罕见。
又如特斯拉电动汽车备受争议的“单踏板”模式,一个加速踏板控制车辆的加速和减速,由同一传感器和处理器控制,但是在理论上,加速功能的安全等级应该远低于刹车功能,至于动能回收,则处理优先级更是远低于加速功能。
这也是集成式电子电气架构的关键问题,即如何保障软件系统的可靠性。但截止于目前,关于汽车电子电气架构软件系统鲁棒性的第三方测试却完全缺席。
汽车,毕竟不是手机。无论技术多么先进,汽车作为一种出行工具,其*要义即在于安全性。时至今日,手机系统失灵、死机现象仍然屡见不鲜,各种小BUG更是层出不穷,我们已经司空见惯。但是,对于汽车来说,一个BUG出现,或许就是严重的安全事故。
03 软件和算法的“车规级”迫在眉睫
在汽车制造领域,有一个重要名词叫做“车规级”,用来形容汽车零部件的专用标准。
如车规级芯片,对温度要求需要达到-40~125°C,而消费级芯片仅需满足0-70°C要求即可。前者出错率必须为0,而后者出错率仅需满足<3%即可。在使用上,车规级芯片需要满足15年使用要求,而消费级芯片仅需使用1-3年时间。
可以看到,车规级产品有着远高于消费类产品的标准要求,这也是基于汽车使用环境带来的高安全标准。
实际上,车规级本身即是一批汽车厂商联合制定的行业标准。但是,在智能汽车方兴未艾的新阶段,行业内对于智能汽车的新形态上却缺乏严格的标准制定。
例如在智能座舱芯片上,部分车企并没有采用车规级解决方案,而是采用消费级芯片改装转换而来。但这毕竟是智能座舱芯片,其安全等级并不算高。
不过整体而言,汽车硬件上问题并不突出,而软件和算法目前尚处于标准缺失的空白地带。
随着汽车电子电气架构变革时代来临,车企们纷纷开启了自研软件和算法。在这一领域,虽然有着ISO 26262功能安全标准约束,但在汽车企业激进的架构设计上,软件算法的功能安全却始终缺乏有效的保障。在汽车上,一旦算法出现问题,汽车很容易就会出现违背驾驶员意志的失灵,导致不可挽回的结果。
更为重要的是,某些软件或算法的BUG出现相当随机,在仿真测试或者真车实验中或许根本难以显露出来。
这正是目前集成式电控系统面临的关键挑战。事实上,这一问题也并不复杂。对于车企来说,优先级更高、安全等级更高的功能,至少应该保持更为独立的系统。在关键功能上,至少将最高权限还给驾驶员自身,而非由程序算法闭环控制。
此外,行业对于汽车软件系统和算法的测试必须提上日程。作为车辆的一部分,软件和算法必须在经历千锤百炼的检测之后,才能展现出其稳定性和鲁棒性,进而保障汽车整体系统的安全性。
毕竟,代码是不可信任的,尤其是汽车。