谈谈智能电动汽车的安全隐患

来源:公众号“ 汽车电子与软件”
2021-01-11
1740
出品:LittleMintTeaHouse小薄荷茶馆

作者:LittleMint

文章较长,分为三个大部分,按照安全隐患的感知程度分类。首先是驾驶员易于感知到的安全隐患,其次是驾驶员不易于感知的,最后再说对驾驶员而言透明的安全隐患。


驾驶员易于感知的安全隐患

1、“令人恶心的推背感”


图片

30W加速

图片

50W加速

由于电机和发动机工作特性的区别,电驱动车的百公里加速性能普遍高于同等价位燃油车。

30w的车,电动车可达百公里5.x 秒的加速能力,而同等价位燃油车表现优异的也在7.x秒。50w等级的车则更夸张,蔚来已进入4秒俱乐部,特斯拉甚至可达3.x秒。用某知名车评的话来说,是“令人恶心的推背感”。

那些已经养成了燃油车驾驶习惯的司机,在城市道路上,用燃油车的踏板行程来踩电动车的电门,非常容易超速。

除此之外,处于节能模式时,松开电门踏板车辆会能量回收,这效果就像是……踩了一脚刹车。有刹车的效果却没有亮起刹车灯,后车发现前车停下来的时候说不定也是追尾的时候。

同样,对于过马路的行人来说,对于车辆距离的预估,也需要重新标定。

以前,路口亮黄灯时小跑着过马路,旁边刚启动的车可能只探出个车身。现在,还没走到一半,电动车已经嗖地来到了面前。 


2、“悄悄地我走了,正如我悄悄地来”

电动车处于纯电模式时,电机运行噪音很小,很多人完全察觉不到电动车起步和行驶,对于非机动车道上的电瓶车、自行车,还有一些过马路的“低头族”,很可能与电动车发生碰撞。

为了解决这个安全问题,工信部于2019年7月1日起推行《电动汽车低速提示音》标准,对电动车低速行驶时的提示音做出了规定。

图片

但部分车企对该提示音功能设置成了可手动开启/关闭,比如比亚迪。因此,那些在标准出台前已销售车辆,以及具备手动开启/关闭提示音的车辆,对于路人来说仍可能是个安全隐患。


3、“开车不要玩手机,那开车可以玩中控屏吗?”

新能源车厂的智能座舱为司机提供了更多的信息交互功能,这些功能增加了使用的丰富性和便利性,提升了驾乘体验。但同时,过多的信息的交互过程也会分散司机的精力,干扰司机驾驶。

以前是边开车边看手机,现在是边开车边操作中控屏。

当然车厂为解决这个问题,提出了很多方案,比如抬头显示、语音操控等,但产品的成熟度仍是个问号。不成熟的产品可能会存在视觉干扰、语音识别不准确、中控交互操作逻辑不友好、屏幕黑屏、卡顿、网络延迟等情况。这些因素都会过多的吸引司机的精力,对驾驶造成干扰。


 驾驶员不易感知的安全隐患

4、“我叫你一声自动驾驶,你敢答应吗?”

图片

Autopilot(Automatic pilot),按照牛津词典的解释,是“不需要人类控制就可以使飞行器或船舶在固定航线上行驶的装置”。这里有个关键概念,是“不需要人类控制”。

作风激进的特斯拉使用的是autopilot,而通用则相对比较克制,使用的是super cruise。

研究自动驾驶的头部科技公司Waymo最近表示“需要人类介入的自动驾驶就是谋财害命”。原因是,Waymo发现人类过于依赖这项技术,而没有仔细监控路况:“我们的发现相当可怕,(当车辆退出自动驾驶模式,提醒驾驶员接管车辆时)他们很难接管汽车,因为他们已经失去了情景感知能力。”对于多次出现的特斯拉autopilot模式下的事故,Waymo表示是由于“车主过于迷恋Autopilot,没有保持足够的警惕”。现阶段特斯拉引以为傲的Autopilot功能正是Waymo今天所摒弃的东西。

为什么这么说?

因为自动驾驶技术(特指Autopilot)仍不成熟。

首先体现在感知失效。 

特斯拉的自动驾驶感知单元主要采用多摄像头的视觉感知技术,辅助以单个长距77GHz毫米波雷达融合的方案。但是视觉的总归是二维的,人眼都可能被视觉欺骗,更何况机器。

今年年中一辆特斯拉Model 3在中国台湾嘉义县水上乡高速路段发生了一次离奇的车祸,车辆没有采取任何减速或转向避让的动作,笔直地撞向了前方已经发生侧翻的货车。

图片


图片

类似的情况特斯拉发生过很多起,Autopilot系统未对横在马路中间的卡车进行任何有效反应。这些事故有一些共同点:被撞车辆处于几乎静止状态,撞面都有大面积白色,且多发生在白天。白色静止物体的场景,似乎成为了特斯拉自动驾驶视觉感知的bug。

这种感知失效所带的事故,也出现过在武汉的城市道路上。Autopilot模式下,model3径直撞翻一片护栏。

除了感知失效,还有自动驾驶算法的不成熟。 

算法不成熟可以从侧面说明。 

为了掌握更多的道路特征,模拟人类驾驶风格,达到可靠的自动驾驶水平,神经网络需要对代表性的数据集进行训练,包括所有可能的驾驶行为、天气和环境条件。在实践中,这些都将转化为海量的训练数据,不断优化自动驾驶的模型。

据waymo报告,粗略估算自动驾驶模型训练所需的数据量:

3百万英里的真实环境测试

10亿英里的模拟试驾

每1000英里的脱离率为0.2(平均而言,人类需要每5000英里干预一次驾驶)

Waymo建立了专门的试验车队(百量级别)采集真实道路数据,并且通过虚拟现实路测环境的仿真平台使用自动驾驶仿真系统进行虚拟道路测试,而特斯拉借助其巨大的车主群体优势,通过装配的Autopilot影子模式,将摄像头、毫米波雷达采集到的数据源源不断地回传给特斯拉后台供自动驾驶模型训练。有网站统计,截止今年,Waymo已经在开放道路上行驶突破了2000万英里,模拟环境下行驶超过100亿英里,而特斯拉的车队已累计行驶了30亿英里(约48亿公里)。

这就意味着两点。第一点,自动驾驶的模型是逐步升级成熟的,但成熟之前,这些使用Autopilot的用户,在一定程度上是小白鼠。第二点,上述两者是顶级自动驾驶研发公司,具备超高配的研发团队和多年的数据积累和技术储备,在这样的背景下,可用的自动驾驶技术仍处于L3-的水平,对于那些新入场就开始声明Autopilot的公司,不论它们的宣传有多么激进,在厚厚的车主手册里,都一定声明了Autopilot的使用条件——驾驶员随时准备接管。

图片

该页面的标题从以前的“在所有车辆上实现完全自动驾驶”变成了“未来驾驶”,Autopilot也解释为“自动辅助驾驶”。


5、“自动驾驶辅助真的能辅助驾驶吗?”

原来在传统车厂,自动驾驶的概念还不是很火的时候,多用“主动安全”、“被动安全”的概念来描述这些功能。现在这些功能已被编组到自动驾驶的各个L级别,作为自动驾驶辅助功能。

图片

 自动驾驶级别

这些L3以下的驾驶辅助功能并非新能源车辆独有,像BSD、ACC、AEB、LKA等功能在传统车企多配备在中高端车型上。

现在随着新能源车辆顶着“智能、网联”的概念强势入场,新能源车厂也展示了应有的诚意,L3级别的自动驾驶(驾驶辅助)基本已经是标配,体验驾驶辅助功能的门槛也随之降低。

图片

主动/被动安全配置表

但对于普通驾驶员而言,这些功能还属于新事物,相应的体验也是比较陌生的。

想象一下这个场景,你没打转向灯在高速路上变道,这时,你的方向盘突然像凭空多了只手一样,试图把车掰回到原来的车道里,你会意识到是LKA起了作用,还是会以为车子失控了?

再想象一下,当你在城市道路开着车,前方并没有障碍物,车子却突然来了个急刹,而且是“完全刹死,给油都不走”,你会意识到AEB被触发了,还是会以为撞到了什么东西?

图片

当然这种情况的出现,也有感知技术方案不完善和算法不成熟的因素。比如上图所述的车辆,就是由于仅搭载了77GHz毫米波雷达方案的AEB系统,只能对前方车辆和行人进行感知和刹停,由于没有视觉摄像头的融合,在处理复杂路况时可能出现“撞墙”现象。

自动驾驶辅助,驾驶员需要逐步适应,体验需要逐步提升。


6、“5分钟内不得发生起火和爆炸”。

新能源车辆自燃已经不算是新闻。

图片

NIO召回

据应急管理部消防救援局副局长曹奇在2020年新能源大会上所述,2020年前三季度,新能源汽车火灾发生了700起,涉及几乎所有新能源车品牌。可见新能源市场高奏凯歌的当下,电池安全问题依然是老大难。

近几年暴露出的电池安全问题主要体现在:电池偶发质量问题;电芯一致性不佳,长时间、高电量存放时有漏液和短路风险;模组内线束布局不当,因挤压等极端情况导致绝缘层磨损短路;电池包电气部件生产一致性不佳导致局部过热等。这些现象都可能会引发动力电池的热失控,进而可能引发车辆自燃。

5月份工信部发布的《电动汽车安全要求》、《电动客车安全要求》、《电动汽车用动力蓄电池安全要求》三项强制国家标准。其中,“电池安全要求”明确指出,动力电池在发生热失控后,5分钟内不得发生起火和爆炸。

针对上述电池安全隐患,各家电池企业与车企在一起努力采取防范措施以应对。宁德时代推出CTP(无模组)技术,紧接着是比亚迪使用磷酸铁锂电芯的刀片电池,如今又有江淮汽车的采用外延包覆的UE技术蜂窝电池。

图片

蜂窝电池

在中国电动汽车百人会论坛(2021)媒体沟通会上,中国科学院院士、动力电池专家,清华大学教授欧阳明高院士为应对安全问题指出了可能的发展方向——“从本征安全、主动安全、被动安全三个方面来解决。”

相信不远的将来,电池的安全问题将会逐步改善。


对驾驶员透明的安全隐患

6、车规级元件也“挂羊头卖狗肉”?。 

所谓的车规级实际上是一套硬件的规格标准,符合相关标准的,可称为车规级。相应的标准包括由北美汽车产业所推的AEC Q100(有源元件)、AEC Q200(无源元件),以及供应链品质管理标准ISO/TS 16949规范。对于功能安全件还需要经ISO 26262 ASIL认证的专用生产线。

普遍认为,电子元件标准的严格程度是车规>工业>消费电子。

车规级元件在环境、机械、电气特性试验,可靠性、制造工艺、生命周期等方面有很高的要求。举个例子,发动机周边温度要求-40℃~150℃,乘客舱是-40℃~85℃,而工业级产品一般规定范围是-40-85℃,消费级器件的温度要求范围是0℃~70℃。

更严格的标准意味着更高的开发成本、更长的验证周期和更少的可选型号。

不论是成本角度考虑,还是推新节奏的角度考虑,很多供应商为了以更低的成本抢占新技术的高地,先行使用了非车规级元件。

图片

不一定说非车规级元件上车就一定出现安全故障,也不是每种需要用在汽车上的电子元件都可以达到所谓的车规要求。 如果仅仅是没有得到相关的认证,但其实产品的性能和可靠性是满足要求的,并且也得到过大量的应用验证,相应的风险是会很小。

但近年来造车门槛的逐渐降低,越来越多的传感器、芯片等新的汽车电子产品导入到汽车行业,车规级也开始变得乱象丛生。

一些未经AEC认可的元器件厂商委任第三方认证机构做AEC认证,但并非所有认证机构会花大量的精力去了解元器件的所有产品特性。来自具有第三方认证机构的证书的元器件,仍可能不具备车规级所要求的高可靠性,更严重的,会引发供应链的混乱,误导缺乏相应经验的整车制造商。



7、“功能安全”or“非功能安全”,这是个哲学问题

许多新兴功能,如ecall、rpa、apa、OTA等,按照功能安全的评级,是至少ASILB以上。但如果为满足功能安全的要求,将整个开发流程纳入功能安全体系,实现硬件冗余备份等,开发成本将会非常的高,同时还会造成项目节点推后,更严重的,如将危及安全的因素扼杀在研发阶段,甚至会造成项目流产。

在造车基因中安全权重占比非常高的车企可能会对具有不可控安全风险的项目叫停,或者对功能进行剪裁至安全范围内。 

但说到底车企存在的根本目的还是为了赚钱。谁能保证,蜂拥入场的每个新势力造车企业在利益面前,都会坚守高成本的安全底线呢。


8、今天你被“大数据”了吗?

智能网联背景下云-管-端的信息安全被摆上台面。信息安全主要关注的是信息的传输安全、存储安全,以及信息本身的安全性,需要通过物理安全,运维安全,密钥、认证、加解密等安全机制以及PKI等资源实现,以防止类似黑客劫持远程车控指令的事件发生。 

但我更关注的是用户的个人数据保护。

个人数据信息包括姓名、年龄、职业、手机号、车牌号、城市、GPS、个人娱乐账号,甚至用户面部特征、声音特征等敏感信息。汽车行业向第三方提供数据接口的场景可能包括制造数据平台、售后平台、新能源汽车监控平台、智能驾驶数采平台,以及为实现用户个性化使用的车联网运营平台等。

出口欧盟的车企一定会遇到《通用数据保护条例》(General Data Protection Regulation,简称GDPR)。GDPR的目标是为了保障自然人(数据主体)对个人数据保护的权利,约束公司(数据的控制者/处理者)对个人数据的处理行为。 

而国内在这个领域的监管是缺失的。 


9、“裸奔的OTA”

能否实现全车OTA已经成为判断车辆是否具有科技感的条件之一。

通过OTA的方式,实现软件的快速迭代乃至功能的付费解锁,节约车辆线下手工刷写的人力成本、节约车主前往4S店升级的时间成本,还可为企业带来软件增值。OTA的优势明显,各家车企都在发力打造自己的OTA产品。

虽然市面有第三方供应商提供OTA解决方案,但因为涉及到全车ECU刷写的电源模式、ECU的个性化刷写要求、通信时序、分布式电子架构下网关节点的限制、TSP交互协议、UC-MASTER/SLAVE设备接口定义、交互流程、信息安全、运营权限等约束条件,OTA产品的研发是个错综复杂的繁琐过程,稍有疏忽就会留坑。 

各家车企自定义的OTA升级流程、升级场景以及升级ECU范围(含功能安全件),是否完全考虑了用车的安全风险、验证是否充分,是否会存在为赶上市周期采取先带缺陷释放后OTA补丁的行为,都是未可知。

为降低OTA风险,今年11月25日,国家市场监管总局办公厅发布《关于进一步加强汽车远程升级(OTA)技术召回监管的通知》,要求即日起所有采用OTA方式对已售车辆开展技术服务活动的生产者,都应按照《缺陷汽车产品召回管理条例》及《缺陷汽车产品召回管理条例实施办法》的要求,向市场监管总局质量发展局备案。

图片

但《通知》对于OTA的升级流程、使用场景、升级范围等并未做法规上的强制约束。

 

结语

不知不觉写了这么多。 

作为曾经传统车厂、现在新势力车厂的一个热血DRE,对行业的前景充满了期待,也心存担忧。

如果说在19年还尚看不清行业的未来,那现如今随着国务院《新能源汽车产业发展规划(2021-2035年)》通知的下发,约束了新能源汽车的销量占比从2025年的20%到2035年的“销售主流”,新能源汽车行业已是钦定的光明前景。

图片
而今年8月,工信部发布的《新能源汽车生产企业及产品准入管理规定》,删除了申请新能源汽车生产企业准入有关“设计开发能力”的要求,大幅降低了新能源汽车企业准入门槛。今后或将有越来越多的企业加入新能源汽车生产制造行业,而如何做好新能源产品质量的监管、降低产品安全风险,将是必须重视的问题。

而我写这篇文章的初衷,仍是基于这个核心思想:夫唯病病,是以不病。

欢迎关注作者微信公众号:

图片


收藏
点赞
2000