狮子金融

近期，“特斯拉潮州连撞数人事故”迎来普遍关注。

停止现在，事故缘故原由正在考察之中。不外可以确定的是，在该事故中，驾驶员出于未知缘故原由对车辆失去了控制。在这里我们不谈事故情形，而是重点关注一下耐久以来被忽视的智能汽车电子电控平安问题。

在传统燃油车时代，汽车的平安性主要分为自动平安和被动平安。这两个观点异常简朴，自动平安指的是汽车在没有发生事故或发生事故前能够预防和制止发生事故的一些平安设置，而被动平安则是指汽车发生事故时能够*限度珍爱车内成员以及车外行人的平安系统。

举例来说，自动平安系统指的是ABS防抱死系统以及ESP车身电子稳固系统等电子装备、自动刹车等功效，而被动平安系统则设计车体吸能结构、平安带、平安气囊等。

如近期问界M7加入的中保研碰撞测试，在正副驾驶25%偏置碰撞中A柱变形，但车内平安气囊珍爱异常到位，依然通过测试。这即是典型的被动平安。

现实上，从燃油车时代最先，碰撞测试就成了磨练汽车平安性的一个要害手段。中保研、美国NHTSA、欧洲NCAP等碰撞测试成就，均主要针对车辆被动平安领域以及辅助平安上。

到了新能源车时代，这种传统依然沿袭了下来。不外，新能源汽车有着自身怪异的手艺架构和焦点特色，也正因此，新能源汽车也增添了电池平安和辅助驾驶平安两大测试。

在已往几年间，电池起火、辅助驾驶失误导致的事故层出不穷。也正因此，在电池领域，曾经针刺试验一度成为电池平安的焦点尺度，但很显然，这种实验也很难明决电池平安问题。停止现在，各个厂商划分推出了自身的电池平安手艺和BMS电池治理方案，新能源汽车电池起火事故相对削减。

而在辅助驾驶上，此前各车企将自动驾驶看成自身卖点，但在当前自动驾驶算法的局限下，当前车辆很难突破L3自动驾驶级别。当L2级辅助驾驶成为车辆上限时，各个厂商也逐渐变得低调，最先主打自身辅助驾驶功效。

然则，无论是传统燃油车时代的自动平安和被动平安，照样新能源时代新增的电池平安和辅助驾驶平安，其基本完全穷尽现阶段所谓智能汽车的平安隐患问题。在这些领域之外，最被忽视的正是智能汽车的电控平安问题。

01 汽车电子控制的黄金时代

电池、电机、电控被合称为新能源汽车的三概略害手艺。然则，电控早在燃油车时代就已经在汽车上获得了普遍普及。

汽车电控即是汽车电子控制系统，基本由传感器、电子控制器（ECU）、驱动器和控制程序软件等部门组成，以电信号来传输汽车的控制指令。

然则，从燃油车向新能源汽车再向智能汽车的过渡，却带来了汽车电控系统的周全转变。

汽车生长初期，汽车控制完全是机械式的。而随着汽车电子生长，ECU替换机械，逐渐成为汽车诸多功效的电子控制单元。

早期，ECU应用完全以功效为导向，单个元件基本卖力单个功效，如玻璃升降控制、引擎控制、平安气囊、防抱死系统、助力转向，再到智能仪表、影音娱乐系统，再到电动汽车上的电驱控制、电池治理系统等均需要单独ECU来举行控制。这带来的效果正是，随着汽车功效越来越庞大，ECU也越来越多。

如1994年*代奥迪A8仅使用5个ECU，来控制发念头事情。但到2010年，奥迪A8已经使用了跨越100个ECU，用于动力系统、底盘控制、智能驾驶等功效上。

然则，随着ECU越来越多，汽车电子电气架构越来越庞大。为解决这一问题，2017年汽车零部件供应商博世提出了EEA的战略生长图，分为模块化、集成化、集中化、域融合、车载电脑、车-云盘算六个小阶段，整体来说即是电子电气架构越来越集中、汽车电子软硬件解耦且软件、算法影响力越来越大。

在这种趋势下，以往汽车上漫衍式电子电气架构逐步向域集中架构转变。而特斯拉的泛起，带来了EEA的集中化转变，在量产车上带来了电控架构的新结构。

详细来看，特斯拉Model 3将数百个ECU控制的功效整合成了左域控制器、前域控制器、右域控制器和中央盘算单元。好比左域控制器就能控制车辆左边的一些电气系统，左边车窗、车门、部门底盘、部门动力系统等。

在这种集成式架构下，原本通太过离ECU实现的功效现在可以放到域主控处置器上实现，带来了域控的平台化和尺度化，也实现了OTA等功效。

然则，这种集中式架构也带来了新的平安挑战。

02 域控制电子电气架构的平安挑战

在漫衍式电子电气架构中，车辆差异功效由差异ECU来控制。而差异汽车功效的汽车电控元件，都有着差其余功效平安品级以及处置优先级，其软件和算法甚至必须运行在差其余底层实时系统上。

而集成式电子电气架构，原本由多个ECU完成的功效，现在需要依赖单一的域主控处置器来完成，还需要治理和控制所毗邻的种种传感器与执行器等。这就对硬件和软件均提出了高度要求。

详细来看，以往ECU软硬件连系卖力单一功效，但在集中式架构中，软件和算法被“收归中央”，整合到域控制器上，这一定会导致域控制器的软件系统更为庞大，也会导致整个软件系统的失足概率增添、可靠性下降。这一问题虽然能够通过硬件虚拟化手艺举行分区处置，但庞大软件系统自己的不能靠性依然未能完全解决。

更主要的是，在汽车电子系统中，差异应用对着实时性和功效平安品级要求差异伟大。如凭证ISO 26262尺度，汽车仪表系统与娱乐信息系统属于差其余平安品级，具有差其余处置优先级。这也很好明晰，在汽车行驶中，娱乐信息系统死机或重启并不影响驾驶平安性，但汽车仪表系统失足却会在一定水平上对司机驾驶平安造成伟大威胁。事实上，汽车仪表系统突然失灵事宜，在当前新能源汽车上并不算罕有。

又如特斯拉电动汽车备受争议的“单踏板”模式，一个加速踏板控制车辆的加速和减速，由统一传感器和处置器控制，然则在理论上，加速功效的平安品级应该远低于刹车功效，至于动能接纳，则处置优先级更是远低于加速功效。

这也是集成式电子电气架构的要害问题，即若何保障软件系统的可靠性。但停止于现在，关于汽车电子电气架构软件系统鲁棒性的第三方测试却完全缺席。

汽车，究竟不是手机。无论手艺何等先进，汽车作为一种出行工具，其*要义即在于平安性。时至今日，手机系统失灵、死机征象仍然习以为常，种种小BUG更是层出不穷，我们已经司空见惯。然则，对于汽车来说，一个BUG泛起，或许就是严重的平安事故。

03 软件和算法的“车规级”迫在眉睫

在汽车制造领域，有一个主要名词叫做“车规级”，用来形容汽车零部件的专用尺度。

如车规级芯片，对温度要求需要到达-40~125°C，而消费级芯片仅需知足0-70°C要求即可。前者失足率必须为0，尔后者失足率仅需知足＜3%即可。在使用上，车规级芯片需要知足15年使用要求，而消费级芯片仅需使用1-3年时间。

可以看到，车规级产物有着远高于消费类产物的尺度要求，这也是基于汽车使用环境带来的高平安尺度。

现实上，车规级自己即是一批汽车厂商团结制订的行业尺度。然则，在智能汽车如日中天的新阶段，行业内对于智能汽车的新形态上却缺乏严酷的尺度制订。

例如在智能座舱芯片上，部门车企并没有接纳车规级解决方案，而是接纳消费级芯片改装转换而来。但这究竟是智能座舱芯片，其平安品级并不算高。

不外整体而言，汽车硬件上问题并不突出，而软件和算法现在尚处于尺度缺失的空缺地带。

随着汽车电子电气架构转变时代来临，车企们纷纷开启了自研软件和算法。在这一领域，虽然有着ISO 26262功效平安尺度约束，但在汽车企业激进的架构设计上，软件算法的功效平安却始终缺乏有用的保障。在汽车上，一旦算法泛起问题，汽车很容易就会泛起违反驾驶员意志的失灵，导致不能挽回的效果。

更为主要的是，某些软件或算法的BUG泛起相当随机，在仿真测试或者真车实验中或许基本难以显露出来。

这正是现在集成式电控系统面临的要害挑战。事实上，这一问题也并不庞大。对于车企来说，优先级更高、平安品级更高的功效，至少应该保持更为自力的系统。在要害功效上，至少将最高权限还给驾驶员自身，而非由程序算法闭环控制。

此外，行业对于汽车软件系统和算法的测试必须提上日程。作为车辆的一部门，软件和算法必须在履历千锤百炼的检测之后，才气展现出其稳固性和鲁棒性，进而保障汽车整系一切的平安性。

究竟，代码是不能信托的，尤其是汽车。