长期被忽视的智能汽车电子电子控制安全

近日，特斯拉潮州连撞数人事故引起广泛关注。

到目前为止，事故原因正在调查中。然而，可以肯定的是，在事故中，司机因未知原因失去了对车辆的控制。在这里，我们不谈事故，而是关注长期被忽视的智能汽车电子电子控制安全。

在传统燃油汽车时代，汽车安全主要分为主动安全和被动安全。这两个概念非常简单。主动安全是指汽车在事故发生前可以预防和避免事故的一些安全配置，而被动安全是指在事故发生时最大限度地保护汽车成员和外行人的安全系统。

例如，主动安全系统是指ABS防抱死系统和ESP电子设备、主动制动等功能，如车身电子稳定系统，而被动安全系统则设计吸能结构、安全带、安全气囊等。

如近期问界M7参加的中保研碰撞试验A柱在正副驾驶25%偏置碰撞中变形，但车内安全气囊保护到位，仍通过试验。这是典型的被动安全。

事实上，从燃油车时代开始，碰撞测试就成为检验汽车安全性的关键手段。中国保险研究院和美国NHTSA、欧洲NCAP碰撞试验结果主要针对车辆被动安全和辅助安全。

在新能源汽车时代，这一传统仍在继续。然而，新能源汽车有自己独特的技术结构和核心特点。因此，新能源汽车也增加了两个测试：电池安全和辅助驾驶安全。

在过去的几年里，由电池火灾和辅助驾驶错误引起的事故层出不穷。因此，在电池领域，针灸试验一度成为电池安全的核心标准，但显然，这一实验也难以解决电池安全问题。到目前为止，各厂商都推出了自己的电池安全技术和BMS在电池管理方案中，新能源汽车电池火灾事故相对减少。

在辅助驾驶方面，汽车公司以自动驾驶为卖点，但在当前自动驾驶算法的限制下，当前车辆难以突破L3自动驾驶水平L当二级辅助驾驶成为车辆上限时，各厂商逐渐变得低调，开始专注于自己的辅助驾驶功能。

然而，无论是传统燃料汽车时代的主动安全和被动安全，还是新能源时代新增的电池安全和辅助驾驶安全，都完全耗尽了现阶段所谓智能汽车的安全风险。除了这些领域，最被忽视的是智能汽车的电子控制安全问题。

／ 01 /汽车电子控制的黄金时代

电池、电机和电子控制被称为新能源汽车的三大关键技术。然而，电子控制早在燃油汽车时代就在汽车上广泛普及。

汽车电子控制是基本由传感器和电子控制器组成的汽车电子控制系统（ECU）、驱动器和控制程序软件由电信号传输汽车控制指令组成。

然而，从燃料汽车到新能源汽车再到智能汽车的过渡给汽车电子控制系统带来了全面的变化。

在汽车发展的早期阶段，汽车控制是完全机械的。随着汽车电子的发展，ECU更换机械，逐渐成为汽车多功能的电子控制单元。

早期，ECU应用程序完全以功能为导向。单个元件基本负责单个功能，如玻璃升降控制、发动机控制、安全气囊、防抱死系统、动力转向、智能仪器、视频娱乐系统、电动汽车电动驱动控制、电池管理系统等ECU控制。因此，随着汽车功能的日益复杂，ECU越来越多。

如1994年第一代奥迪A8仅使用5个ECU，控制发动机工作。但到2010年，奥迪A8已经使用了100多个ECU，用于动力系统、底盘控制、智能驾驶等功能。

但是，随着ECU汽车电子电气架构越来越复杂。为了解决这问题，2017年汽车零部件供应商博世提出EEA战略发展图分为六个小阶段：模块化、集成化、集中化、域集成、车载计算机和车载云计算。总的来说，电子电气架构越来越集中，汽车电子软硬件解耦，软件和算法的影响力越来越大。

在这种趋势下，过去汽车上的分布式电子电气架构逐渐转变为域集中架构。特斯拉的出现带来了EEA集中变化带来了量产车电控架构的新布局。

特斯拉Model 3将数百个ECU控制功能集成为左域控制器、前域控制器、右域控制器和中央计算单元。例如，左域控制器可以控制车辆左侧的一些电气系统、左窗、门、部分底盘、部分电源系统等。

在这种集成架构下，原本是分离的ECU实现的功能现在可以在域主控处理器上实现，带来了域控的平台化和标准化OTA等功能。

然而，这种集中式架构也带来了新的安全挑战。

／ 02 /域控制电子电气架构的安全挑战

在分布式电子电气分布式电子电气架构中有所不同ECU控制。不同汽车功能的汽车电子控制元件具有不同的功能安全等级和处理优先级，其软件和算法甚至必须在不同的底层实时系统上运行。

集成电子电气架构最初由多个组成ECU完成的功能需要依靠单个域主控处理器来完成，并管理和控制连接到的各种传感器和执行器。这对硬件和软件都有很高的要求。

具体来说，过去ECU软硬件结合负责单一功能，但在集中架构中，软件和算法被收集到中心并集成到域控制器中，这将不可避免地导致域控制器的软件系统更加复杂，增加整个软件系统的错误概率，降低可靠性。虽然这个问题可以通过硬件虚拟化技术进行分区处理，但复杂软件系统本身的不可靠性尚未完全解决。

更重要的是，在汽车电子系统中，不同的应用对实时性和功能安全等级有很大的不同要求。如根据ISO 26262标准，汽车仪表系统和娱乐信息系统属于不同的安全等级，处理优先级也不同。这也很容易理解，在汽车驾驶中，娱乐信息系统的崩溃或重启并不影响驾驶安全，但汽车仪表系统的错误会在一定程度上对驾驶员的驾驶安全构成巨大威胁。事实上，在目前的新能源汽车中，汽车仪表系统源汽车中并不少见。

另一个例子是特斯拉电动汽车有争议的单踏板模式。加速踏板由同一传感器和处理器控制，但理论上，加速功能的安全水平应远低于制动功能。至于动能回收，处理优先级远低于加速功能。

这也是集成电子电气架构的关键问题，即如何保证软件系统的可靠性。但到目前为止，汽车电子电气架构软件系统的第三方测试已经完全缺席。

毕竟，汽车不是手机。无论技术有多先进，汽车作为一种旅行工具的首要意义在于安全。如今，手机系统故障和死机仍然很常见，各种各样的小型BUG更是层出不穷，我们司空见惯。但是，对于汽车来说，一个BUG可能是严重的安全事故。

／ 03 车级软件和算法迫在眉睫

在汽车制造领域，有一个重要的术语叫做汽车规级

如果车辆级芯片，温度要求需要达到-40~125°C，消费芯片只需满足0-700°C要求。前者的错误率必须为0，而后者的错误率只能满足3%。在使用方面，汽车级芯片需要满足15年的使用要求，而消费级芯片只需要1-3年。

可见，汽车规级产品的标准要求远高于消费品，这也是基于汽车使用环境的高安全标准。

事实上，汽车标准本身就是一些汽车制造商共同制定的行业标准。然而，在智能汽车蓬勃发展的新阶段，行业对智能汽车的新形式缺乏严格的标准。

例如，在智能驾驶舱芯片方面，一些汽车公司没有使用汽车级解决方案，而是使用消费级芯片进行改装和转换。但这毕竟是一个智能驾驶舱芯片，其安全水平并不高。

但总的来说，汽车硬件问题并不突出，软件和算法仍处于缺乏标准的空白区域。

随着汽车电子电气架构改革时代的到来，汽车公司开始开发自己的软件和算法。在这个领域，虽然有ISO 但在汽车企业激进的架构设计中，软件算法的功能安全始终缺乏有效的保障。在汽车上，一旦算法出现问题，汽车很容易违背驾驶员的意愿，导致不可挽回的结果。

更重要的是，一些软件或算法BUG在模拟测试或真车实验中可能很难显示出相当随机的外观。

这是目前集成电子控制系统面临的关键挑战。事实上，这个问题并不复杂。对于汽车公司来说，优先级和安全级至少应该保持一个更独立的系统。在关键功能方面，至少将最高权限归还给司机本身，而不是由程序算法的闭环控制。

此外，行业对汽车软件系统和算法的测试必须列入议程。软件和算法作为车辆的一部分，必须经过彻底的测试，才能显示其稳定性和鲁棒性，从而保证整个汽车系统的安全。

代码毕竟是不可信的，尤其是汽车。