從汽車安全帶說(shuō)起

安全帶作為汽車發(fā)生碰撞過(guò)程中保護(hù)駕乘人員的基本防護(hù)裝置，保護(hù)了數(shù)以百萬(wàn)計(jì)的人的生命。在今天看來(lái)，安全帶是汽車上再基礎(chǔ)不過(guò)的必需配置，即使再入門級(jí)的車型也會(huì)標(biāo)配安全帶，這毫無(wú)爭(zhēng)議，然而你能想象嗎：在六七十年前，很多汽車企業(yè)還會(huì)在成本與安全的平衡中，將安全帶拿掉或者是作為選裝。

隨著沃爾沃改進(jìn)了三點(diǎn)式安全帶，并在1967年在美國(guó)的一次交通安全會(huì)議上提交了《28000起交通事故報(bào)告》，這份報(bào)告引來(lái)了廣泛的關(guān)注。因?yàn)?，?bào)告表明，安全帶不但能挽救生命，還降低了50-60%的受傷幾率。

自此之后，美國(guó)汽車安全技術(shù)法規(guī)（FMVSS）才將安全帶列為“機(jī)動(dòng)車強(qiáng)制安裝配置”，要求從1968年開(kāi)始，轎車面向前方的座位必須配備安全帶。歐洲和日本等發(fā)達(dá)國(guó)家也相繼制定了一系列規(guī)定將安全帶列為強(qiáng)制配置項(xiàng)。中國(guó)于1993年，要求小車前排強(qiáng)制使用安全帶，2003年10月28日，《中華人民共和國(guó)道路交通安全法》頒布，不系安全帶違法扣分。

總結(jié)

可以看到，安全帶標(biāo)配在汽車上經(jīng)歷了三個(gè)標(biāo)志性階段，爭(zhēng)議→技術(shù)天花板（三點(diǎn)式安全帶改進(jìn)）→法規(guī)強(qiáng)制。

再說(shuō)到C-NCAP

NCAP（New Car Assessment Program）新車評(píng)價(jià)程序，主要用于在正面碰撞中評(píng)價(jià)汽車保護(hù)車內(nèi)乘員的性能，其對(duì)于促進(jìn)汽車OEM提高車輛被動(dòng)安全性功不可沒(méi)。

它起源于美國(guó)，在誕生之初曾經(jīng)被各大汽車OEM"恨之入骨"，因?yàn)閹缀跛械能嚩己茈y得到3星以上的評(píng)價(jià)，更別提5星碰撞安全了。后來(lái)，陸續(xù)其他國(guó)家和地區(qū)也開(kāi)始借鑒，在全球的NCAP機(jī)構(gòu)中，EuroNCAP影響力較大。它在歐洲深受消費(fèi)者歡迎，并擁有廣泛群眾基礎(chǔ)和非常高的公信力。

我國(guó)于2006年正式啟動(dòng)了C-NCAP項(xiàng)目，隨著汽車碰撞的星級(jí)評(píng)價(jià)被人們列為購(gòu)車選車的一項(xiàng)重要的安全性指標(biāo)參考，汽車OEM開(kāi)始越來(lái)越重視C-NCAP的安全評(píng)級(jí)，17年后的今天，C-NCAP已建立起成熟的測(cè)評(píng)體系，如今5星碰撞安全被汽車OEM作為一個(gè)重要的安全亮點(diǎn)和賣點(diǎn)來(lái)宣傳。

這足見(jiàn)其對(duì)推動(dòng)安全意識(shí)深入到中國(guó)汽車企業(yè)骨髓的影響。如今，汽車碰撞安全設(shè)計(jì)體現(xiàn)在各車型的設(shè)計(jì)平臺(tái)之中，體現(xiàn)在車輛安全配置不斷增加的趨勢(shì)之中，體現(xiàn)在逐漸被遏制的汽車交通傷害數(shù)字之中，更體現(xiàn)在從廠家到消費(fèi)者的態(tài)度和行動(dòng)之中。

3月30日，中汽中心在其碰撞實(shí)驗(yàn)室完成了第20000次碰撞，從1999年的第一次碰撞，到第20000次碰撞，在一次次乒呤乓啷的巨響中，中國(guó)汽車的被動(dòng)安全水平得以巨大的提升。

總結(jié)

C-NCAP 的發(fā)展也經(jīng)歷了幾個(gè)標(biāo)志性階段：OEM的抗拒→被動(dòng)應(yīng)對(duì)→主動(dòng)追求。

智能汽車安全

?如今，汽車的主被動(dòng)安全已經(jīng)取得了極大的進(jìn)步，無(wú)論是安全技術(shù)的實(shí)踐應(yīng)用、以及安全檢測(cè)技術(shù)的提升，兩者相互促進(jìn)共同推動(dòng)著汽車主被動(dòng)安全的趨向于完善，然而汽車在走向智能化/電動(dòng)化的過(guò)程中卻面臨了更大的安全挑戰(zhàn)。

傳統(tǒng)的分布式EE架構(gòu)（以控制器為單位，將功能、軟件、硬件相互強(qiáng)綁定在一起），已經(jīng)無(wú)法應(yīng)對(duì)汽車智能化需求：功能和軟件快速迭代。然而其在系統(tǒng)安全上卻有著天然的優(yōu)勢(shì)，如同一個(gè)個(gè)分兵而治的諸侯（我的底盤(pán)我做主），封閉性讓功能控制的復(fù)雜度相對(duì)低，且安全相關(guān)的控制器，一般由實(shí)力強(qiáng)大的Tier1來(lái)主導(dǎo)開(kāi)發(fā)，Tier1在細(xì)分的專項(xiàng)領(lǐng)域有深厚的安全Know-how積累（正是依賴著安全的實(shí)現(xiàn)難度形成自己的護(hù)城河），即便如此，在功能迭代和產(chǎn)品變更上，仍近乎于苛刻，即通過(guò)盡量不變的方式來(lái)維持長(zhǎng)期以來(lái)打磨好的”安全“。

?智能汽車的安全挑戰(zhàn)

挑戰(zhàn)1：域控架構(gòu)/集成式EE架構(gòu)的復(fù)雜度

功能安全開(kāi)發(fā)所有的開(kāi)發(fā)活動(dòng)中，都要求盡最大可能降低功能和系統(tǒng)的復(fù)雜度，復(fù)雜度的上升，對(duì)于安全實(shí)現(xiàn)的難度而言，是指數(shù)級(jí)上升的。然而域控架構(gòu)和集中式EE架構(gòu)的復(fù)雜度是天然的。原來(lái)一個(gè)功能相對(duì)簡(jiǎn)單的ASILD控制器的功能安全實(shí)現(xiàn)已經(jīng)相當(dāng)困難了，域控架構(gòu)的安全實(shí)現(xiàn)難度可想而知。

挑戰(zhàn)2：整車安全功能和系統(tǒng)的"耦合"

相對(duì)于原來(lái)相互沒(méi)有任何交集的驅(qū)動(dòng)、制動(dòng)、轉(zhuǎn)向控制系統(tǒng)，如今因?yàn)殡妱?dòng)化將制動(dòng)（涉及到傳統(tǒng)制動(dòng)與能量回收制動(dòng)分配）與驅(qū)動(dòng)控制耦合成一個(gè)更復(fù)雜的功能系統(tǒng)；因?yàn)樽詣?dòng)&輔助駕駛將整車所有的橫縱向控制全部耦合成一個(gè)最復(fù)雜的大系統(tǒng)（自動(dòng)駕駛可控制轉(zhuǎn)向，制動(dòng)，驅(qū)動(dòng)等所有安全強(qiáng)相關(guān)的功能系統(tǒng)），原來(lái)獨(dú)立、封閉和解耦的安全相關(guān)的控制系統(tǒng)完全被打開(kāi)，這對(duì)于功能安全的影響來(lái)說(shuō)是顛覆性的。

挑戰(zhàn)3：OEM自研安全Know-how

傳統(tǒng)開(kāi)發(fā)模式下，功能安全更多是由Tier1來(lái)實(shí)踐的，OEM更多的是做最上層的安全需求以及最后端的整車集成驗(yàn)證，如今OEM自研模式下，需要獨(dú)立的挑起“功能安全大梁”，這需要Know-how的積累。

挑戰(zhàn)4：“變”是安全的天敵

功能/系統(tǒng)安全的實(shí)現(xiàn)需要非常繁復(fù)和仔細(xì)的論證，一旦論證OK，在穩(wěn)定的沿用的基礎(chǔ)上，做逐步的優(yōu)化是最好的選擇，安全設(shè)計(jì)有時(shí)候不是一蹴而就的，需要逐步在分析、測(cè)試驗(yàn)證以及運(yùn)行中不斷的打磨。而來(lái)自于“非優(yōu)化或完善維度”的變更，有時(shí)候?qū)σ延械陌踩呗院头桨甘穷嵏玻绊懛治龊驼撟C需要重新進(jìn)行，然而在如今功能/軟件變更頻率如此高的背景下，一個(gè)完整的安全論證幾乎是不可能完成，在安全論證不充分的情況下，將變更引入的同時(shí)也引入了風(fēng)險(xiǎn)。

挑戰(zhàn)5：自動(dòng)駕駛功能的復(fù)雜

功能安全主要是解決由于系統(tǒng)的失效（系統(tǒng)性失效和硬件隨機(jī)失效）帶來(lái)的安全風(fēng)險(xiǎn)，在自動(dòng)駕駛功能引入之前，汽車上電子系統(tǒng)安全挑戰(zhàn)主要是來(lái)自于這種失效引起的，自動(dòng)駕駛功能引入后，除了上面提到了帶來(lái)了系統(tǒng)復(fù)雜度的安全挑戰(zhàn)（功能安全）外，又引入了另一個(gè)：預(yù)期功能安全。

預(yù)期動(dòng)能安全主要是解決由于系統(tǒng)性能局限和人的誤用帶來(lái)的安全風(fēng)險(xiǎn)，簡(jiǎn)單來(lái)說(shuō)就是系統(tǒng)即使沒(méi)有失效（完全做到了功能安全），仍然不能規(guī)避這類安全風(fēng)險(xiǎn)。比如攝像頭在沒(méi)有任何功能安全失效的情況下，仍然有可能因?yàn)檎`識(shí)別而做出危險(xiǎn)的決策控制，比如“非預(yù)期的剎車”、“非預(yù)期的沒(méi)有剎車”，以及“非預(yù)期的轉(zhuǎn)向”等。

挑戰(zhàn)6：不僅“內(nèi)憂”還有“外患”

功能安全和預(yù)期功能安全，都是在解決系統(tǒng)內(nèi)部的安全，可謂“內(nèi)憂”。除了這些，還有來(lái)自于系統(tǒng)外部的安全風(fēng)險(xiǎn)，那就是網(wǎng)絡(luò)安全（信息安全）。

網(wǎng)絡(luò)安全主要是解決系統(tǒng)由于受到主動(dòng)、刻意的攻擊而面臨的安全風(fēng)險(xiǎn)，可謂“外患”。

功能封閉=百毒不侵：分布式EE架構(gòu)，安全相關(guān)的系統(tǒng)完全封閉，不接受任何來(lái)自外部的控制，與網(wǎng)絡(luò)物理隔絕，即完全不給機(jī)會(huì)入侵，相對(duì)安全。

如今，功能需要帶來(lái)了開(kāi)放，整車制動(dòng)、轉(zhuǎn)向、驅(qū)動(dòng)都需要開(kāi)放其控制對(duì)上游的自動(dòng)駕駛控制，汽車上有了大腦能夠?qū)ζ囁械陌踩到y(tǒng)展開(kāi)控制，這打通了安全控制的鏈路，大大增加了安全入侵面，而且整車連入了互聯(lián)網(wǎng)，將安全控制系統(tǒng)暴漏在入侵的威脅中，除此之外，整車OTA功能的引入，也給“不安全軟件”或“非法”軟件刷入到車上帶來(lái)了機(jī)會(huì)。

總結(jié)

對(duì)于智能汽車而言，功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全環(huán)環(huán)相扣，只有三個(gè)維度都做到才能保證安全，缺失任何一個(gè)都會(huì)使得其他兩個(gè)維度所做的努力功虧一簣（水桶效應(yīng)）。然而現(xiàn)實(shí)是，別說(shuō)三個(gè)都做到，做到其中任何一個(gè)，都面臨巨大的挑戰(zhàn)，同時(shí)做到的難度更是難以想象。

如何應(yīng)對(duì)挑戰(zhàn)？

?從安全帶和C-NCAP案例中得到的啟示，安全水平的提升需要兩個(gè)維度的努力：

1. 來(lái)自于安全技術(shù)的突破

功能安全里有一個(gè)很關(guān)鍵的概念：功能安全是降低安全風(fēng)險(xiǎn)而非“0”化風(fēng)險(xiǎn)，使之達(dá)到”風(fēng)險(xiǎn)可接受”。

這里很多人都會(huì)覺(jué)得功能安全有點(diǎn)“玄學(xué)”，什么是風(fēng)險(xiǎn)可接受？如何度量？

要理解這里的“風(fēng)險(xiǎn)可接受”，需要理解另一個(gè)詞“State of the art", 簡(jiǎn)單來(lái)說(shuō)就是”標(biāo)桿技術(shù)“。安全的技術(shù)水平不是一條靜態(tài)的線，而是在行業(yè)的不斷努力下，隨著時(shí)間的推移持續(xù)向上移動(dòng)的準(zhǔn)繩，如同安全帶，在六七十年前不作為標(biāo)配就是”風(fēng)險(xiǎn)可接受“，而現(xiàn)在則是“完全不能接受”。

這里想表達(dá)的是，行業(yè)內(nèi)的企業(yè)主動(dòng)的、自發(fā)的在安全技術(shù)的探索和提升，是應(yīng)對(duì)安全挑戰(zhàn)的最佳選擇。

這些技術(shù)上的探索，會(huì)在逐步成熟的過(guò)程中，形成“標(biāo)桿技術(shù)”、“技術(shù)天花板”，一旦“標(biāo)桿技術(shù)”被認(rèn)可為行業(yè)共識(shí)和安全的最佳實(shí)踐，就會(huì)逐步通過(guò)法規(guī)約束和檢測(cè)技術(shù)列為強(qiáng)制要求項(xiàng)。

智能汽車的安全經(jīng)驗(yàn)，并不像其他的安全技術(shù)，可以很容易顯性化的復(fù)制。

就像當(dāng)前很多功能安全巨頭供應(yīng)商，其功能安全經(jīng)驗(yàn)并不會(huì)被公之于眾，而是作為自己的技術(shù)護(hù)城河，將來(lái)的OEM安全的探索和技術(shù)積累同樣，安全技術(shù)的Know-how越多越深入，就越會(huì)在激烈的競(jìng)爭(zhēng)中脫穎而出。

說(shuō)白了，安全技術(shù)，是可以為降本提供依據(jù)和思路的，不做功能/系統(tǒng)安全分析，既無(wú)法清楚的看到自己安全的短板，做補(bǔ)足而降低安全風(fēng)險(xiǎn)，也無(wú)法看到在某些局部做了過(guò)安全設(shè)計(jì)卻沒(méi)有提升整體的安全水平（無(wú)用設(shè)計(jì)）。

2. 檢測(cè)技術(shù)規(guī)范和法規(guī)約束

智能汽車安全，對(duì)于法規(guī)約束和檢測(cè)技術(shù)規(guī)范，也帶來(lái)了巨大的挑戰(zhàn)。

不同于傳統(tǒng)的安全檢測(cè)，很多的安全可以相對(duì)顯性化的測(cè)試和檢測(cè)，而智能汽車安全，無(wú)論是功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全都極其困難。

于是，行業(yè)內(nèi)在檢測(cè)方法、安全監(jiān)管上也需要采用更加創(chuàng)新的方式，當(dāng)前我們也已經(jīng)看到了一些方向的探索和實(shí)踐：

①歐洲的實(shí)施經(jīng)驗(yàn)參考

功能安全在全世界范圍內(nèi)，以歐洲實(shí)施和落地的最為深入和成熟。雖未法規(guī)強(qiáng)制，但幾乎歐洲的所有汽車上下游企業(yè)都作為實(shí)際強(qiáng)制來(lái)實(shí)踐的。

這是因?yàn)闅W洲采用了“寬進(jìn)窄出”的要求，即企業(yè)需要對(duì)安全負(fù)責(zé)，產(chǎn)品一旦出現(xiàn)安全問(wèn)題，會(huì)回溯到開(kāi)發(fā)中是否遵循了功能安全的開(kāi)發(fā)。

②國(guó)內(nèi)：檢測(cè)+安全evidence審查并舉

如上描述，單純的依賴檢測(cè)來(lái)保證智能汽車安全幾乎是無(wú)法做到的，功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全的水平只有每個(gè)企業(yè)自身了解，因此需要輔以企業(yè)的安全聲明和對(duì)自身安全的信心。

GB17675針對(duì)功能安全的符合性采用”抽查+審查“的機(jī)制，審查企業(yè)的“功能安全總結(jié)文檔”，這就意味著企業(yè)需要對(duì)功能安全承諾（這要求企業(yè)有信心聲明達(dá)到了功能安全），同時(shí)保留了對(duì)企業(yè)詳細(xì)安全文檔的審查要求，即出了安全問(wèn)題，仍然會(huì)回溯到企業(yè)的功能安全開(kāi)發(fā)是否完整來(lái)定責(zé)。這有些參考了歐洲的思路。

③汽車安全沙盒監(jiān)管：

所謂的汽車安全沙盒監(jiān)管，是在后市場(chǎng)階段針對(duì)車輛應(yīng)用的前沿技術(shù)進(jìn)行深度安全測(cè)試的機(jī)制，主要目的是引導(dǎo)企業(yè)查找問(wèn)題、改進(jìn)設(shè)計(jì)、降低風(fēng)險(xiǎn)。作為傳統(tǒng)監(jiān)管方式的有益補(bǔ)充，汽車安全沙盒監(jiān)管變被動(dòng)監(jiān)管為主動(dòng)監(jiān)管，有利于更早地將前沿技術(shù)引發(fā)的質(zhì)量安全問(wèn)題納入監(jiān)管范圍，提高應(yīng)急處置能力，防范和化解重大風(fēng)險(xiǎn)，保護(hù)消費(fèi)者合法權(quán)益，同時(shí)有利于鼓勵(lì)企業(yè)技術(shù)創(chuàng)新，倡導(dǎo)最佳安全設(shè)計(jì)實(shí)踐。

沙盒監(jiān)管作為傳統(tǒng)監(jiān)管方式的有益補(bǔ)充，是一種針對(duì)技術(shù)創(chuàng)新的柔性監(jiān)管制度，實(shí)際上是為企業(yè)提供一個(gè)測(cè)試平臺(tái)和測(cè)試周期，在不違反原則性準(zhǔn)入標(biāo)準(zhǔn)和監(jiān)管底線的基礎(chǔ)上，鼓勵(lì)企業(yè)在不完全掌握產(chǎn)品風(fēng)險(xiǎn)時(shí)，自愿開(kāi)展進(jìn)一步測(cè)試，最大限度地防范產(chǎn)品應(yīng)用風(fēng)險(xiǎn)。同時(shí)，改善監(jiān)管應(yīng)對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)性、靈活性，防止監(jiān)管過(guò)嚴(yán)對(duì)科技創(chuàng)新的抑制，較好地平衡技術(shù)創(chuàng)新和安全風(fēng)險(xiǎn)，積極倡導(dǎo)最佳安全實(shí)踐，為推動(dòng)我國(guó)汽車產(chǎn)業(yè)繁榮健康、安全有序發(fā)展提供了新的監(jiān)管思路。該制度起源于英國(guó)，目前美國(guó)、德國(guó)、日本等20多個(gè)國(guó)家和地區(qū)正在金融、汽車、能源等領(lǐng)域積極推進(jìn)實(shí)施。

推行沙盒監(jiān)管的目的，是以更安全的方式去鼓勵(lì)創(chuàng)新，并達(dá)到不斷優(yōu)化監(jiān)管模式的效果，有效防止“一管就死，一放就亂”的管理困局，在保護(hù)與監(jiān)管之間找到最佳的結(jié)合點(diǎn)。

在我國(guó)汽車安全領(lǐng)域引入沙盒監(jiān)管，鼓勵(lì)企業(yè)在一定時(shí)間范圍內(nèi)對(duì)已經(jīng)應(yīng)用在上市車輛上的前沿技術(shù)進(jìn)行深入安全測(cè)試，在一定程度上填補(bǔ)標(biāo)準(zhǔn)滯后帶來(lái)的監(jiān)管缺失，有利于監(jiān)管部門更早地將前沿技術(shù)引發(fā)的質(zhì)量安全問(wèn)題納入監(jiān)管范圍，更好地保障產(chǎn)品安全底線。參與試點(diǎn)的企業(yè)，要主動(dòng)履行質(zhì)量安全責(zé)任，接受監(jiān)管部門的管理監(jiān)督、跟蹤評(píng)估和質(zhì)量服務(wù)。雙方共同努力，查找產(chǎn)品安全問(wèn)題，改進(jìn)產(chǎn)品設(shè)計(jì)、制造，降低產(chǎn)品安全風(fēng)險(xiǎn)。

總結(jié)：沙盒監(jiān)管是在被動(dòng)監(jiān)管的基礎(chǔ)之上，對(duì)于產(chǎn)品應(yīng)用的新技術(shù)，隨著技術(shù)水平的不斷提高，監(jiān)管線動(dòng)態(tài)趨嚴(yán)的過(guò)程，這正是功能安全state of the art基于當(dāng)前技術(shù)水平對(duì)安全可接受水平進(jìn)行動(dòng)態(tài)適配的最佳詮釋。

審核編輯：劉清