“车偶尔需要重启,就像我的手机或电脑一样,这是有点令人不安的,但这就是事实……”这是一位特斯拉车主的真实反馈。
对于眼下特斯拉遭遇的各种问题(不管是北美市场Autopilot系统的滥用,中国市场多起失控加速事故),一些行业人士表示,这是特斯拉作为目前智能电动车领域处于领先地位所要付出的代价。
特斯拉以软件快速迭代开发为立身之本,然而这种模式同样有利有弊,在目前全球都缺乏对整车OTA(尤其是安全关键功能)的有效监管,这也留下了很多安全漏洞。
四年前,特斯拉对一批生产的车型关闭了自动紧急制动(AEB)系统,原因是该公司正在检查过往的真实行驶数据,以确保系统将按照预期工作。
随后,特斯拉发表了一份声明,称公司为新车更新了一些硬件。“这组硬件增加了一些计算和布线冗余,略微提高了可靠性。”
与此同时,特斯拉在影子模式下开始对新的AEB系统进行测试验证,而不是传统OEM采取的内部测试流程。“在这一过程中,自动紧急刹车将暂时失效,但仍将记录该功能将如何执行,而不采取任何行动。”
对此,一些消费者觉得自己被“欺骗”了。
对于这些车主来说,在购买特斯拉新车时被承诺AEB将是一项标准功能,但上述类似的功能被关闭的事件,在汽车行业几乎没有出现过。而在特斯拉的网站上,AEB仍然被宣传为标准安全功能。
然而,和AEB相关的问题并未就此结束。比如,在数起特斯拉的事故中,为什么AEB没有起作用,不管是减速还是紧急刹停,都有可能减轻事故的严重程度。
一、跑起来“容易”,刹停“难”
新技术不断导入新车,驾驶一辆可以自动刹车、避免人为错误和车祸的汽车,对于消费者来说,无疑是一种帮助,而不是障碍。还有过去几年不断普及的防抱死系统,牵引力控制系统和电子稳定系统。
从一个积极的方面来看,技术无疑正在使我们作为道路使用者的生活变得更好。但同时,也会带来很多新的苦恼。
比如,AEB(自动紧急制动系统),这个在2009年由沃尔沃汽车首次推出的主动安全功能,在过去十几年时间逐步在全球普及,甚至在很多入门级价格的车型上,今天我们也能够看到类似的功能搭载。
一直以来,我们可以看到很多车主,因为AEB系统的及时介入而避免了重大追尾事故的发生,这是我们必须承认的事实。但同时,系统并不总是完美无缺,而且不同的汽车制造商采用了不同的方式来实现AEB功能。
比如,基于纯视觉方案,存在恶劣天气的影响;基于雷达的方案,存在假阳性的误警报以及错误制动。当然,很多车辆也提供了功能的敏感度调整项,但大部分车主不会去做相关的设置。
而类似的AEB召回,近年来也开始成为主角。
去年,沃尔沃汽车在全球多个市场提交了召回公告,其中,在北美市场涉及到121605辆可能出现自动紧急刹车故障的车辆,几乎包含了这家以安全为品牌理念的汽车制造商所有在售车型。
召回的原因,也很简单,AEB系统可能存在硬件和软件不兼容的问题,这将使传感器无法识别物体。而类似的问题,近年来也在其他品牌车型上开始出现。
2019年,马自达公司表示,其智能制动系统(SBS)中的“软件错误”可能导致第四代马自达3在行驶过程中错误地检测到路径上的物体,并在行驶过程中自动刹车。
去年,有机构宣布,正在调查大众和奥迪的AEB系统是否正常工作,原因是雷达传感器会出现随机和意外地错误识别,导致检测到不存在的障碍物,并触发刹车。
汽车制造商普遍认为,AEB可以帮助减轻通常由分心驾驶或突然丧失驾驶能力导致的事故。但他们同样在车主手册中明确声明:AEB不仅远非万无一失,而且还有很多原因导致系统的反应不及预期。
日产ProPilot辅助系统的首席工程师表示,在许多情况下,AEB“可能不会做出反应”,这是因为这些系统被训练成不会因为假阳性而被激活。
目前,特斯拉的AEB系统,也有不少的约束条件,比如,自动紧急制动只有在行驶速度大致介于8km/h和150km/h 之间时才会工作。倘若行驶车速为 (56 km/h) 或更快, 在自动紧急制动将行驶车速减慢 (50 km/h) 后,将释放制动器。
同时,在以下情况,自动紧急制动不会实施制动或停止实施制动:包括急打方向盘;驾驶员在自动紧急制动实施制动时踩下制动踏板后松开;在自动紧急制动实施制动时猛烈加速;前方未再检测到车辆、摩托车、 自行车或行人。
而按照系统对感知的性能表述,则是前撞预警系统关联的摄像头和传感器用来监测行驶车道最大约160米的区域。路况和天气状况可能会对前撞预警所能监控的区域造成不利影响。
此外,特斯拉的车主手册还列举了一些失效条件,比如当车辆部分处于行驶路径上或路上有碎片时,会导致自动紧急制动失效、失当或不及时。同时,道路有急转弯,强光、能见度差、传感器被遮挡等情况下,都会失效。
在很多行业工程师看来,AEB是“一个挑战”,主要是因为该系统必须对一系列输入做出反应,包括以不同速度行驶的其他车辆以及路边的物体,这些物体可能会影响汽车的行驶路线,也可能不会影响汽车的行驶路线。
然而,马斯克对于Autopilot、FSD等自动辅助驾驶系统的“吹捧”,的确让很多消费者对于特斯拉的自动辅助驾驶系统的安全性有很多误解。
一些车主表示,很多时候对特斯拉的自动辅助驾驶系统感到足够安全,以至于忽略系统的警告。比如,此前开着特斯拉装上路边消防车的车主表示,在关键的80秒“接管窗口期”忽视了方向盘或踏板,以至于车辆以每小时60英里的速度追尾。
至于为什么在自动辅助驾驶模式下,车辆没有自动感知前面停下的汽车并试图减速,特斯拉曾向美国当地媒体表示,用户手册中已经明确写明:“AEB不是为了避免碰撞而设计的”。
一些行业人士甚至认为,“让一辆车自动跑起来,很容易;但是安全的刹停,才是真正的能力。”而对于自动驾驶来说,还有很多其他考虑因素。
“所需的功能、软件和算法都依赖于数据,将随着时间的推移逐渐增长,”沃尔沃汽车战略主管Alexander Petrofski表示,我们会采取逐步激活的策略。这家瑞典汽车制造商将其高速L4自动驾驶系统的量产时间推迟到了2022年。
此外,监管部门的批准也将是一个复杂的障碍。决定自动驾驶汽车在何种条件下能在公共道路上行驶的法规不仅会因车辆类型而异,还会因政府而异,无论是在国家层面还是在地区层面。
显然,马斯克带领的特斯拉选择直接将系统在没有更多测试的情况下面向消费者销售,从而获得大量真实世界的数据。但同时,更多的致命事故也就随之而来。
而作为全球L4级自动驾驶领域的领头羊,Waymo的商业化进程比许多人预期的要慢。降低道路交通事故死亡率也是Waymo的一个核心目标。因此,让公众相信Waymo的技术比人类驾驶更安全是至关重要的。
对此,新上任的两位Waymo联合CEO都表示,这就是为什么公司仍将将坚持严格的测试和慎重的公共部署。“任何一家公司,一旦发生严重事故,就没有机会再次构建、开发、部署和引入自动驾驶技术。你必须第一次就把它做好。”
毕竟,自动辅助驾驶的责任在于驾驶员,而L4级自动驾驶的责任在于运营方以及相关的整车制造商和方案商。这一点,也是为什么特斯拉一再宣传FSD的超能力,但同时在车主手册及各种官方声明中,又强调驾驶员的接管是必须的。
二、软件监管难题
“自动紧急制动或自动辅助驾驶系统可能无法正常工作,增加了撞车的风险。”这是美国国家公路交通安全管理局(NHTSB)对首起特斯拉致命撞车事故后给出的调查报告中的一句话。
在多起特斯拉事故中,我们在其中一起发生在2016年的事故中看到了车主在事故发生前的一些举止。约书亚·布朗是美国俄亥俄州的一位特斯拉车主,此前经常在YouTube上录制视频,称赞他的特斯拉Model S及其自动辅助驾驶系统。
然而,2016年5月7日,约书亚·布朗驾驶着Model S与一辆穿越佛罗里达州威利斯顿西部高速公路的半挂牵引卡车相撞后,当场死亡。此后,类似的事故也发生了不止一次。原因是,感知系统对于横穿(白色车身)卡车无法有效识别危险。
但最终多次报告的结论仍然是,“如果存在缺陷,那也是人类司机的问题。”同时,一些事故还涉及到驾驶员短暂的分心驾驶。而在特斯拉车主手册中,这样写道,“驾驶员有责任通过保持警惕、集中注意力及尽早采取纠正措施来避免碰撞。”
如果说,这些是事故发生后,基于调查的结论,那么,特斯拉车主经常遇到的系统提示功能关闭或失效,却是让很多车主感到困惑。
一些车主表示,平时开车状态下会收到一些错误信息的提示,比如“牵引力控制禁用”和“AEB禁用”。有一位车主,在车辆以20-30英里的时速转弯时,上述错误信息弹出,再生制动也失效。
而特斯拉公司客服人员的答复是:关闭车辆动力系统,等两分钟,然后让系统冷重启。此后,特斯拉在一次OTA固件更新中对问题进行了解决。
在很多业内人士看来,这就是软件定义汽车带来的隐藏风险。
一些特斯拉车主表示,自己之前看过很多品牌的车,从来都不太担心软件故障,但自己开上了特斯拉,这种担心就一直没有消散。“因为大多数问题都无法解释,除了特斯拉说,每个问题都会有后续软件更新。”
一位特斯拉车主在接受采访时表示,自己买特斯拉,完全是因为“好奇”。众所周知,特斯拉是通过软件更新来更新汽车功能和体验的,在此之前,没有一家传统汽车制造商可以做得到。
而软件Bug,很多时候就会存在所谓的“因时而异”,从而造成“因人而异”的问题。比如,很多特斯拉车主从来没有出现过刹车失灵、加速失控的问题。但软件的一个特点就是,在某种特定条件下,有可能触发Bug。
此外,更关键的是,在启用自动辅助驾驶系统的情况下,特斯拉缺乏对于驾驶员是否具备接管能力的监测,采用的仍是传统的方向盘传感器来检测双手是否离开方向盘。这也间接造成很多事故发生时,驾驶员无法快速完成车辆接管。
Seeing Machines公司曾发布一份报告,在使用自动辅助驾驶系统时,司机对紧急情况的反应较慢。研究发现,特斯拉车主驾驶状态下的平均事件反应时间为1.5秒,但正常启用Autopilot后时,反应时间增加了一倍多,达到3.5秒。
一些安全倡导机构表示,驾驶员不专心与车辆故障之间是有区别的,有人可能会说,司机负有注意不集中、没有及时接管造成事故的100%责任,但特斯拉也有过错,没有按照通常的流程测试他们的软件。“所有的测试,都交给了用户”。
接下来,是监管机构要出面遏制这种不良风气的时候了。
去年11月,中国市场监管总局发布了关于进一步加强汽车远程升级(OTA)技术召回监管的通知,明确提出自2020年11月23日起,采用OTA方式对已售车辆开展技术服务活动的,应按照相关要求,向市场监管总局质量发展局备案。
此外,为了加强对汽车制造商的监督,《通知》要求消费者、零部件生产者、软件与系统或数据服务商等获知生产者采用OTA方式隐瞒车辆缺陷、规避召回责任的,可以直接向市场监管总局质量发展局报告。
目前,包括科络达在内的一些供应商,已经开始准备推出相关的解决方案。比如,加强安全保护机制与开发流程,将评估导入国际认证、向主机厂倡导OTA升级法规要求、加强信息安全建设,提升预防不正当远程操作机率。
对此,科络达CEO吴柏仪( Paul Wu)表示,公司未来将继续从云扩展及储存、管道的顺畅与安全、终端及车内安全中心、车联数据及业务中台和行业发展分析平台等多个方面发力,完善生态系统,继续扮演好智能汽车的‘赋能者’角色。
这其中,很重要的一点,就是事前防范。
比如,科络达基于“OTA+远程诊断”的汽车安全防护解决方案,就可以为车企提供全面的解决方案包,包括远程监控、诊断、预警功能、数据分析和OTA更新等,在故障发生之前,就对潜在的风险进行监测。
汽车OTA的核心需求是安全和稳定,这方面科络达建立了业内领先的OTA自动化压力测试体系。科络达和国内外多家安全公司合作,对OTA解决方案持续进行安全渗透实验,发现和改进潜在的安全风险。
同时,“公司投入大量资源进行汽车远程智能诊断的研发和落地,先于用户发现可能的问题,把OTA从‘治病’‘未病先防’。”吴柏仪( Paul Wu)表示。
今年4月,工信部发布《智能网联汽车生产企业及产品准入管理指南(试行)》公开征求意见稿,加强具备有条件自动驾驶、高度自动驾驶功能的智能网联汽车生产企业及其产品的市场准入。
这是全球首个对于自动辅助驾驶系统新车审批的明确准入要求,这意味着,后续的新车公告将对具备上述功能的智能汽车提出更高的要求,从现在的事后监管转变为事前监管。
征求意见稿指出,智能网联汽车生产企业应明确告知消费者包括车辆设计运行条件(ODD)、人机交互设备指示信息、驾驶员职责、驾驶自动化功能激活及退出方法等信息。
同时,智能网联汽车产品应满足功能安全、预期功能安全和网络安全等过程保障要求,以及模拟仿真、封闭场地、实际道路、网络安全、软件升级和数据存储等测试要求,避免车辆在设计运行条件内发生可预见且可预防的安全事故。
这意味着,特斯拉此前采取的用消费者当测试工程师的手法,已经行不通了。同时,针对近期特斯拉公开的事故数据被质疑是否有修改,征求意见稿也明确指出,未来存储的数据应能被正确读取和解析,且不能被篡改。
有趣的是,就在几天前,特斯拉向北美地区用户出售的特斯拉车辆发送了2021.4.15.1升级版本。然而,这一更新版本很快就被撤销,取而代之的是2021.4.15.2。而很多车主反馈,小的Bug修复更新对于特斯拉来说是很常见的,所以并不奇怪。
显然,对于特斯拉来说,还要很多“课”要补。首当其冲,就是做好“合规”,从新车上市前的完成工程测试,以及OTA更新的严谨。
注:上述车主反馈其中一部分来自特斯拉官方车主论坛。