汽車智能化帶來的安全新挑戰(zhàn)及其應(yīng)對思路

從汽車安全帶說起

安全帶作為汽車發(fā)生碰撞過程中保護(hù)駕乘人員的基本防護(hù)裝置，保護(hù)了數(shù)以百萬計的人的生命。在今天看來，安全帶是汽車上再基礎(chǔ)不過的必需配置，即使再入門級的車型也會標(biāo)配安全帶，這毫無爭議，然而你能想象嗎：在六七十年前，很多汽車企業(yè)還會在成本與安全的平衡中，將安全帶拿掉或者是作為選裝。

隨著沃爾沃改進(jìn)了三點(diǎn)式安全帶，并在1967年在美國的一次交通安全會議上提交了《28000起交通事故報告》，這份報告引來了廣泛的關(guān)注。因?yàn)?，報告表明，安全帶不但能挽救生命，還降低了50-60%的受傷幾率。

自此之后，美國汽車安全技術(shù)法規(guī)（FMVSS）才將安全帶列為“機(jī)動車強(qiáng)制安裝配置”，要求從1968年開始，轎車面向前方的座位必須配備安全帶。歐洲和日本等發(fā)達(dá)國家也相繼制定了一系列規(guī)定將安全帶列為強(qiáng)制配置項(xiàng)。中國于1993年，要求小車前排強(qiáng)制使用安全帶，2003年10月28日，《中華人民共和國道路交通安全法》頒布，不系安全帶違法扣分。

總結(jié)

可以看到，安全帶標(biāo)配在汽車上經(jīng)歷了三個標(biāo)志性階段，爭議→技術(shù)天花板（三點(diǎn)式安全帶改進(jìn)）→法規(guī)強(qiáng)制。

再說到C-NCAP

NCAP（New Car Assessment Program）新車評價程序，主要用于在正面碰撞中評價汽車保護(hù)車內(nèi)乘員的性能，其對于促進(jìn)汽車OEM提高車輛被動安全性功不可沒。

它起源于美國，在誕生之初曾經(jīng)被各大汽車OEM"恨之入骨"，因?yàn)閹缀跛械能嚩己茈y得到3星以上的評價，更別提5星碰撞安全了。后來，陸續(xù)其他國家和地區(qū)也開始借鑒，在全球的NCAP機(jī)構(gòu)中，EuroNCAP影響力較大。它在歐洲深受消費(fèi)者歡迎，并擁有廣泛群眾基礎(chǔ)和非常高的公信力。

我國于2006年正式啟動了C-NCAP項(xiàng)目，隨著汽車碰撞的星級評價被人們列為購車選車的一項(xiàng)重要的安全性指標(biāo)參考，汽車OEM開始越來越重視C-NCAP的安全評級，17年后的今天，C-NCAP已建立起成熟的測評體系，如今5星碰撞安全被汽車OEM作為一個重要的安全亮點(diǎn)和賣點(diǎn)來宣傳。

這足見其對推動安全意識深入到中國汽車企業(yè)骨髓的影響。如今，汽車碰撞安全設(shè)計體現(xiàn)在各車型的設(shè)計平臺之中，體現(xiàn)在車輛安全配置不斷增加的趨勢之中，體現(xiàn)在逐漸被遏制的汽車交通傷害數(shù)字之中，更體現(xiàn)在從廠家到消費(fèi)者的態(tài)度和行動之中。

3月30日，中汽中心在其碰撞實(shí)驗(yàn)室完成了第20000次碰撞，從1999年的第一次碰撞，到第20000次碰撞，在一次次乒呤乓啷的巨響中，中國汽車的被動安全水平得以巨大的提升。

總結(jié)

C-NCAP 的發(fā)展也經(jīng)歷了幾個標(biāo)志性階段：OEM的抗拒→被動應(yīng)對→主動追求。

智能汽車安全

?如今，汽車的主被動安全已經(jīng)取得了極大的進(jìn)步，無論是安全技術(shù)的實(shí)踐應(yīng)用、以及安全檢測技術(shù)的提升，兩者相互促進(jìn)共同推動著汽車主被動安全的趨向于完善，然而汽車在走向智能化/電動化的過程中卻面臨了更大的安全挑戰(zhàn)。

傳統(tǒng)的分布式EE架構(gòu)（以控制器為單位，將功能、軟件、硬件相互強(qiáng)綁定在一起），已經(jīng)無法應(yīng)對汽車智能化需求：功能和軟件快速迭代。然而其在系統(tǒng)安全上卻有著天然的優(yōu)勢，如同一個個分兵而治的諸侯（我的底盤我做主），封閉性讓功能控制的復(fù)雜度相對低，且安全相關(guān)的控制器，一般由實(shí)力強(qiáng)大的Tier1來主導(dǎo)開發(fā)，Tier1在細(xì)分的專項(xiàng)領(lǐng)域有深厚的安全Know-how積累（正是依賴著安全的實(shí)現(xiàn)難度形成自己的護(hù)城河），即便如此，在功能迭代和產(chǎn)品變更上，仍近乎于苛刻，即通過盡量不變的方式來維持長期以來打磨好的”安全“。

?智能汽車的安全挑戰(zhàn)

挑戰(zhàn)1：域控架構(gòu)/集成式EE架構(gòu)的復(fù)雜度

功能安全開發(fā)所有的開發(fā)活動中，都要求盡最大可能降低功能和系統(tǒng)的復(fù)雜度，復(fù)雜度的上升，對于安全實(shí)現(xiàn)的難度而言，是指數(shù)級上升的。然而域控架構(gòu)和集中式EE架構(gòu)的復(fù)雜度是天然的。原來一個功能相對簡單的ASILD控制器的功能安全實(shí)現(xiàn)已經(jīng)相當(dāng)困難了，域控架構(gòu)的安全實(shí)現(xiàn)難度可想而知。

挑戰(zhàn)2：整車安全功能和系統(tǒng)的"耦合"

相對于原來相互沒有任何交集的驅(qū)動、制動、轉(zhuǎn)向控制系統(tǒng)，如今因?yàn)殡妱踊瘜⒅苿樱ㄉ婕暗絺鹘y(tǒng)制動與能量回收制動分配）與驅(qū)動控制耦合成一個更復(fù)雜的功能系統(tǒng)；因?yàn)樽詣?輔助駕駛將整車所有的橫縱向控制全部耦合成一個最復(fù)雜的大系統(tǒng)（自動駕駛可控制轉(zhuǎn)向，制動，驅(qū)動等所有安全強(qiáng)相關(guān)的功能系統(tǒng)），原來獨(dú)立、封閉和解耦的安全相關(guān)的控制系統(tǒng)完全被打開，這對于功能安全的影響來說是顛覆性的。

挑戰(zhàn)3：OEM自研安全Know-how

傳統(tǒng)開發(fā)模式下，功能安全更多是由Tier1來實(shí)踐的，OEM更多的是做最上層的安全需求以及最后端的整車集成驗(yàn)證，如今OEM自研模式下，需要獨(dú)立的挑起“功能安全大梁”，這需要Know-how的積累。

挑戰(zhàn)4：“變”是安全的天敵

功能/系統(tǒng)安全的實(shí)現(xiàn)需要非常繁復(fù)和仔細(xì)的論證，一旦論證OK，在穩(wěn)定的沿用的基礎(chǔ)上，做逐步的優(yōu)化是最好的選擇，安全設(shè)計有時候不是一蹴而就的，需要逐步在分析、測試驗(yàn)證以及運(yùn)行中不斷的打磨。而來自于“非優(yōu)化或完善維度”的變更，有時候?qū)σ延械陌踩呗院头桨甘穷嵏?，影響分析和論證需要重新進(jìn)行，然而在如今功能/軟件變更頻率如此高的背景下，一個完整的安全論證幾乎是不可能完成，在安全論證不充分的情況下，將變更引入的同時也引入了風(fēng)險。

挑戰(zhàn)5：自動駕駛功能的復(fù)雜

功能安全主要是解決由于系統(tǒng)的失效（系統(tǒng)性失效和硬件隨機(jī)失效）帶來的安全風(fēng)險，在自動駕駛功能引入之前，汽車上電子系統(tǒng)安全挑戰(zhàn)主要是來自于這種失效引起的，自動駕駛功能引入后，除了上面提到了帶來了系統(tǒng)復(fù)雜度的安全挑戰(zhàn)（功能安全）外，又引入了另一個：預(yù)期功能安全。

預(yù)期動能安全主要是解決由于系統(tǒng)性能局限和人的誤用帶來的安全風(fēng)險，簡單來說就是系統(tǒng)即使沒有失效（完全做到了功能安全），仍然不能規(guī)避這類安全風(fēng)險。比如攝像頭在沒有任何功能安全失效的情況下，仍然有可能因?yàn)檎`識別而做出危險的決策控制，比如“非預(yù)期的剎車”、“非預(yù)期的沒有剎車”，以及“非預(yù)期的轉(zhuǎn)向”等。

挑戰(zhàn)6：不僅“內(nèi)憂”還有“外患”

功能安全和預(yù)期功能安全，都是在解決系統(tǒng)內(nèi)部的安全，可謂“內(nèi)憂”。除了這些，還有來自于系統(tǒng)外部的安全風(fēng)險，那就是網(wǎng)絡(luò)安全（信息安全）。

網(wǎng)絡(luò)安全主要是解決系統(tǒng)由于受到主動、刻意的攻擊而面臨的安全風(fēng)險，可謂“外患”。

功能封閉=百毒不侵：分布式EE架構(gòu)，安全相關(guān)的系統(tǒng)完全封閉，不接受任何來自外部的控制，與網(wǎng)絡(luò)物理隔絕，即完全不給機(jī)會入侵，相對安全。

如今，功能需要帶來了開放，整車制動、轉(zhuǎn)向、驅(qū)動都需要開放其控制對上游的自動駕駛控制，汽車上有了大腦能夠?qū)ζ囁械陌踩到y(tǒng)展開控制，這打通了安全控制的鏈路，大大增加了安全入侵面，而且整車連入了互聯(lián)網(wǎng)，將安全控制系統(tǒng)暴漏在入侵的威脅中，除此之外，整車OTA功能的引入，也給“不安全軟件”或“非法”軟件刷入到車上帶來了機(jī)會。

總結(jié)

對于智能汽車而言，功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全環(huán)環(huán)相扣，只有三個維度都做到才能保證安全，缺失任何一個都會使得其他兩個維度所做的努力功虧一簣（水桶效應(yīng)）。然而現(xiàn)實(shí)是，別說三個都做到，做到其中任何一個，都面臨巨大的挑戰(zhàn)，同時做到的難度更是難以想象。

如何應(yīng)對挑戰(zhàn)？

?從安全帶和C-NCAP案例中得到的啟示，安全水平的提升需要兩個維度的努力：

1. 來自于安全技術(shù)的突破

功能安全里有一個很關(guān)鍵的概念：功能安全是降低安全風(fēng)險而非“0”化風(fēng)險，使之達(dá)到”風(fēng)險可接受”。

這里很多人都會覺得功能安全有點(diǎn)“玄學(xué)”，什么是風(fēng)險可接受？如何度量？

要理解這里的“風(fēng)險可接受”，需要理解另一個詞“State of the art", 簡單來說就是”標(biāo)桿技術(shù)“。安全的技術(shù)水平不是一條靜態(tài)的線，而是在行業(yè)的不斷努力下，隨著時間的推移持續(xù)向上移動的準(zhǔn)繩，如同安全帶，在六七十年前不作為標(biāo)配就是”風(fēng)險可接受“，而現(xiàn)在則是“完全不能接受”。

這里想表達(dá)的是，行業(yè)內(nèi)的企業(yè)主動的、自發(fā)的在安全技術(shù)的探索和提升，是應(yīng)對安全挑戰(zhàn)的最佳選擇。

這些技術(shù)上的探索，會在逐步成熟的過程中，形成“標(biāo)桿技術(shù)”、“技術(shù)天花板”，一旦“標(biāo)桿技術(shù)”被認(rèn)可為行業(yè)共識和安全的最佳實(shí)踐，就會逐步通過法規(guī)約束和檢測技術(shù)列為強(qiáng)制要求項(xiàng)。

智能汽車的安全經(jīng)驗(yàn)，并不像其他的安全技術(shù)，可以很容易顯性化的復(fù)制。

就像當(dāng)前很多功能安全巨頭供應(yīng)商，其功能安全經(jīng)驗(yàn)并不會被公之于眾，而是作為自己的技術(shù)護(hù)城河，將來的OEM安全的探索和技術(shù)積累同樣，安全技術(shù)的Know-how越多越深入，就越會在激烈的競爭中脫穎而出。

說白了，安全技術(shù)，是可以為降本提供依據(jù)和思路的，不做功能/系統(tǒng)安全分析，既無法清楚的看到自己安全的短板，做補(bǔ)足而降低安全風(fēng)險，也無法看到在某些局部做了過安全設(shè)計卻沒有提升整體的安全水平（無用設(shè)計）。

2. 檢測技術(shù)規(guī)范和法規(guī)約束

智能汽車安全，對于法規(guī)約束和檢測技術(shù)規(guī)范，也帶來了巨大的挑戰(zhàn)。

不同于傳統(tǒng)的安全檢測，很多的安全可以相對顯性化的測試和檢測，而智能汽車安全，無論是功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全都極其困難。

于是，行業(yè)內(nèi)在檢測方法、安全監(jiān)管上也需要采用更加創(chuàng)新的方式，當(dāng)前我們也已經(jīng)看到了一些方向的探索和實(shí)踐：

①歐洲的實(shí)施經(jīng)驗(yàn)參考

功能安全在全世界范圍內(nèi)，以歐洲實(shí)施和落地的最為深入和成熟。雖未法規(guī)強(qiáng)制，但幾乎歐洲的所有汽車上下游企業(yè)都作為實(shí)際強(qiáng)制來實(shí)踐的。

這是因?yàn)闅W洲采用了“寬進(jìn)窄出”的要求，即企業(yè)需要對安全負(fù)責(zé)，產(chǎn)品一旦出現(xiàn)安全問題，會回溯到開發(fā)中是否遵循了功能安全的開發(fā)。

②國內(nèi)：檢測+安全evidence審查并舉

如上描述，單純的依賴檢測來保證智能汽車安全幾乎是無法做到的，功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全的水平只有每個企業(yè)自身了解，因此需要輔以企業(yè)的安全聲明和對自身安全的信心。

GB17675針對功能安全的符合性采用”抽查+審查“的機(jī)制，審查企業(yè)的“功能安全總結(jié)文檔”，這就意味著企業(yè)需要對功能安全承諾（這要求企業(yè)有信心聲明達(dá)到了功能安全），同時保留了對企業(yè)詳細(xì)安全文檔的審查要求，即出了安全問題，仍然會回溯到企業(yè)的功能安全開發(fā)是否完整來定責(zé)。這有些參考了歐洲的思路。

③汽車安全沙盒監(jiān)管：

所謂的汽車安全沙盒監(jiān)管，是在后市場階段針對車輛應(yīng)用的前沿技術(shù)進(jìn)行深度安全測試的機(jī)制，主要目的是引導(dǎo)企業(yè)查找問題、改進(jìn)設(shè)計、降低風(fēng)險。作為傳統(tǒng)監(jiān)管方式的有益補(bǔ)充，汽車安全沙盒監(jiān)管變被動監(jiān)管為主動監(jiān)管，有利于更早地將前沿技術(shù)引發(fā)的質(zhì)量安全問題納入監(jiān)管范圍，提高應(yīng)急處置能力，防范和化解重大風(fēng)險，保護(hù)消費(fèi)者合法權(quán)益，同時有利于鼓勵企業(yè)技術(shù)創(chuàng)新，倡導(dǎo)最佳安全設(shè)計實(shí)踐。

沙盒監(jiān)管作為傳統(tǒng)監(jiān)管方式的有益補(bǔ)充，是一種針對技術(shù)創(chuàng)新的柔性監(jiān)管制度，實(shí)際上是為企業(yè)提供一個測試平臺和測試周期，在不違反原則性準(zhǔn)入標(biāo)準(zhǔn)和監(jiān)管底線的基礎(chǔ)上，鼓勵企業(yè)在不完全掌握產(chǎn)品風(fēng)險時，自愿開展進(jìn)一步測試，最大限度地防范產(chǎn)品應(yīng)用風(fēng)險。同時，改善監(jiān)管應(yīng)對風(fēng)險的實(shí)時性、靈活性，防止監(jiān)管過嚴(yán)對科技創(chuàng)新的抑制，較好地平衡技術(shù)創(chuàng)新和安全風(fēng)險，積極倡導(dǎo)最佳安全實(shí)踐，為推動我國汽車產(chǎn)業(yè)繁榮健康、安全有序發(fā)展提供了新的監(jiān)管思路。該制度起源于英國，目前美國、德國、日本等20多個國家和地區(qū)正在金融、汽車、能源等領(lǐng)域積極推進(jìn)實(shí)施。

推行沙盒監(jiān)管的目的，是以更安全的方式去鼓勵創(chuàng)新，并達(dá)到不斷優(yōu)化監(jiān)管模式的效果，有效防止“一管就死，一放就亂”的管理困局，在保護(hù)與監(jiān)管之間找到最佳的結(jié)合點(diǎn)。

在我國汽車安全領(lǐng)域引入沙盒監(jiān)管，鼓勵企業(yè)在一定時間范圍內(nèi)對已經(jīng)應(yīng)用在上市車輛上的前沿技術(shù)進(jìn)行深入安全測試，在一定程度上填補(bǔ)標(biāo)準(zhǔn)滯后帶來的監(jiān)管缺失，有利于監(jiān)管部門更早地將前沿技術(shù)引發(fā)的質(zhì)量安全問題納入監(jiān)管范圍，更好地保障產(chǎn)品安全底線。參與試點(diǎn)的企業(yè)，要主動履行質(zhì)量安全責(zé)任，接受監(jiān)管部門的管理監(jiān)督、跟蹤評估和質(zhì)量服務(wù)。雙方共同努力，查找產(chǎn)品安全問題，改進(jìn)產(chǎn)品設(shè)計、制造，降低產(chǎn)品安全風(fēng)險。

總結(jié)：沙盒監(jiān)管是在被動監(jiān)管的基礎(chǔ)之上，對于產(chǎn)品應(yīng)用的新技術(shù)，隨著技術(shù)水平的不斷提高，監(jiān)管線動態(tài)趨嚴(yán)的過程，這正是功能安全state of the art基于當(dāng)前技術(shù)水平對安全可接受水平進(jìn)行動態(tài)適配的最佳詮釋。

審核編輯：劉清