1.4 安全成为汽车智能化的红线

开车出门，家人“注意安全”的叮嘱总是伴在耳边。

确实，一两吨重的大铁块在路上狂奔总是让人心悸。交通事故虽不鲜见，但任谁都难以接受，这显然反映出大众对于汽车安全的高度敏感和极低的事故接受能力。一辆汽车可能承载着几个家庭的生命与幸福，汽车安全无疑是公认的红线。

1.4.1 总是上热搜的安全事件

当微信群、抖音里不时出现这辆车自燃了、那辆车ADAS（Advanced Driver Assistance System，先进驾驶辅助系统）失灵了、另一辆车自动加速了、再一辆车气囊没点爆之类的视频时，大众的神经很容易被牵动起来。

不知道有多少人还记得高田这家公司，由于“气囊门”事件，这家曾经的全球安全标杆企业亲手制造了汽车史上最大规模的召回事件，迁延十多年，召回车辆逾亿辆，波及面甚广，涉及近20个知名汽车品牌……终于，在全民讨伐下，2017年，这个84岁高龄的商业帝国晚节不保，倒闭了。

这并非孤例，大众后轴断裂、丰田加速踏板卡滞、通用前悬架衬套脱出、福特发动机熄火、本田刹车过软……类似的召回事件不绝于耳，特别是涉及安全的，车主都是谈“召回”色变。

可以这样说：对于消费者而言，最恐怖的是车祸，次恐怖的是召回；对于汽车从业者而言，最恐怖的是召回，次恐怖的是停线。

随着技术越来越成熟，方案越来越固定，经验教训被越来越充分地消化，不管是合资的还是国产的，传统汽车的安全性整体上已到达可接受的程度。新车上市时，强力营销汽车装了多少气囊的车企越来越少，毕竟这是底线。

而对于新能源、智能化汽车，在安全已经形成“红线”与“底线”的市场里，如何应对安全的属性与概念，是汽车从业者必然要面对的话题。当然，这里还涉及一个概念——State of the Art，也就是当前技术水平，包括民众心理期待值和技术发展水平等，我们在4.3.6节会展开聊一下。

1.4.2 当我们谈安全时我们在谈什么

回到安全本身，它的概念实际上是有些模糊的。

普通人眼中的安全是，不要影响我的人身财产安全，以及“安全感”。但对于专业人员来说，当我们谈安全时，我们到底在谈什么？汽车安全演进过程如图1-9所示。

1.被动安全

最传统的安全是被动安全，通常是指被直接冠以“安全”名号的安全气囊、安全带以及相关联结构组成的安全系统，主要作用是在车辆发生事故之后对乘员进行保护，属于事后补救。由于乘员在车舱内，所以车身框架的结构设计、内部空间预留、座椅布置、仪表板走向、材料选择等都是被动安全系统的一部分。

现在的被动安全基本可以被量化，我们常听到的车辆安全星级就是基于NCAP（New Car Assessment Program，新车安全评价规程）来评定的。NCAP通过碰撞测试，根据不同的碰撞或翻滚等模拟事故的工况，结合基于生物学的假人伤害判定，来综合评估一辆车的碰撞安全性。其中，按照地区又会分C-NCAP、US-NCAP、Euro-NCAP、A-NCAP、J-NCAP等，一般认为Euro-NCAP最严格，但不同的NCAP在具体工况上会各有侧重点。此外，还有大量其他法规，比如，美国联邦机动车安全标准FMVSS 208等，相关技术细节我们不再展开。

另外，还有一些其他的安全概念，比如电池自燃、线束短路、车内空气质量等，这些都属于大安全的范畴，这一块的重点在制造业的质量把控上，与被动安全算是同源，本书不会涉及太多。

2.主动安全与ADAS

被动安全属于亡羊补牢，它的内涵比较明确，也有相应的明确、有效的解决方案。但大家都期待的是主动预防，也就是主动安全。主动安全的概念实际上也是模糊的，早些时候的典型代表是ABS（防抱死制动系统）和ESP（车身电子稳定系统），单纯用于避免事故。

随着ADAS的火热，听起来有点老土的主动安全不再怎么被提及。然而，对于汽车而言，抛开另一条技术演进路线——动力问题，基本就是在舒适性和安全性上做平衡与推进，在安全性问题被解决前，二者总是相伴相随的。主动安全与ADAS的关系如图1-10所示。

（1）主动安全

就概念而言，主动安全对安全性的关注多一些，常见的系统有ABS（Anti-lock Braking System，防抱死制动系统）、ESP（Electronic Stability Program，车身电子稳定系统）、EDS（Electronic Differential System，电子差速锁）、EBD（Electric Brakeforce Distribution，电子制动力分配系统）、TCS（Traction Control System，牵引力控制系统）、ASR（Acceleration Slip Regulation，驱动防滑系统）等。

（2）ADAS

ADAS更注重舒适性，常见的系统有VCS（Vehicular Communication System，车联网）、ACC（Adaptive Cruise Control，自适应巡航控制）、LCA（Lane Changing Assist，变道辅助系统）、ALC（Adaptive Light Control，自适应灯光控制）、APA（Automatic Parking Assist，自动泊车辅助系统）、TJA（Traffic Jam Assist，交通拥堵辅助系统）、DMS（Driver Monitoring System，驾驶员监控系统）、HUD（Head Up Display，抬头显示系统）、NVS（Night Vision System，夜视系统）等。

有些系统兼顾安全性和舒适性，比如LDWS（Lane Departure Warning System，车道偏离报警系统）、LKA（Lane Keep Assist，车道保持辅助系统）、AEB（Autonomous Emergency Braking，自动紧急制动系统）、FCA（Front Collision Assist，前方防撞辅助系统）等。

就像马斯洛需求层次一样，从安全性到舒适性是逐渐提升的需求，主动安全到ADAS就是对应了这种需求与技术的协同演变。

3.弱安全与自动驾驶

以同样的逻辑，再看自动驾驶。

现在，很多企业在宣传时会弱化ADAS和自动驾驶的界限，出事故后，又急于切割ADAS与自动驾驶的关系。从这个现象我们能明显地看出，安全在这里扮演的角色，体现了功能本身对驾驶安全的接管程度和保障程度。

实际上，现在ADAS的绝大多数功能仍然针对的是潜在的“不安全”场景，正因为有“不安全”，才会反复地讲“安全”。就如我们前面所讲，在各家车企都有能力达到NCAP五星的时候，车企不太会卖力宣传自己车辆的碰撞安全性，因为这种安全水平是默认的。

同理，只有当技术水平、民众观念、基础建设等全面升级，自动驾驶的安全变成“弱安全”，大家不再热烈地谈论安全问题，不再热烈地宣扬规避危险的能力有多强，边缘场景也极少被发现时，自动驾驶时代才真正到来。

那个时代有很大的想象空间，不知道何时会来临，我们一起期待。

1.4.3 怎么保障软件的安全

1.“高田”工程师错了吗

认识汽车、理解汽车、设计汽车，都无法绕开“安全”这个主题。然而，当这个大而模糊的目标摆在我们面前时，我们该怎么做？怎么保证？由谁来保证呢？

结合前面提到的高田“气囊门”事件，这次事故当然很严重，高田也确实犯了不可原谅的错误，作为法律实体，它付出了惨痛的代价，但事情是人做的，那么，接下来我们要思考的是，这个企业的管理层以及每天画图、做实验的工程师，他们是否一直在昧着良心做着冒天下之大不韪的事？他们是否该承受至少是道德上的谴责？

这似乎难以确定，从现状来看，他们只是一群普通的从业者，有人负责，有人偷懒，有人严格做实验，有人造假数据，有人填坑，有人挖坑，有人专业，有人业余……我们无法要求每个自然人都是纯粹的、道德高尚的人，即使是，他们也未必具备足够的知识、经验与远见。

所以，把问题归结于具体的人，是被迫的，也是低效的。

2.功能安全、预期功能安全与信息安全

我们要尊重技术与数据，而不是做一个安全哲学家，所以，仅仅了解各种理念、概念远远不够。

安全，首先是一条红线，然后是一种理念，再然后是一条条规则与标准，最后才能落实到流程体系和产品需求上。

目前，主要有3类标准来规范智能汽车的安全，主要以ISO 26262（功能安全）、ISO 21448（预期功能安全）与ISO/SAE 21434（信息安全）为代表。这几个标准都不算太老，最早的26262是2011年11月颁布的，但它真正得到广泛应用是在造车新势力爆发的2015～2016年之后。21434是2021年8月正式颁布的，实际上，到目前为止，各大企业基本还没有成形的模式。21448最晚，2022年6月才发布正式版本。

我们简单地描述一下这几种安全的大致概念（7.4～7.6节会更细致地讨论）。

❑功能安全主要考虑硬件随机失效和开发中人为错误导致的风险，侧重于符合设计。

❑预期功能安全是在系统符合设计的基础上，考虑人员误操作、环境极端场景及系统本身性能局限等导致的风险，侧重于满足期望。

❑信息安全，顾名思义，主要考虑黑客网络攻击、环境干扰、隐私信息泄露等导致的风险，属于一个新的维度。

当前资本逐鹿市场，很多东西被模糊掉了，由乱到治可能需要一个过程，而我们每一名管理者与技术人员可以力所能及地慢下来，思考一下“安全”这个问题。