FT：警惕汽车控制系统的黑盒化

本文转载自FT中文网，仅代表原出处和原作者观点，仅供参考阅读，不代表本网态度和立场。

一方面，车厂在系统设计时就不记录、不披露对自己不利的数据；另一方面，车厂也以商业保密的名义阻碍第三方对自身的调查。

汽车上存在的大量新功能，使得人类的操控请求在大部分情况下要经过电子控制系统的翻译才能传递到车轮上。但是这个系统是个黑盒——普通人对它如何工作近乎一无所知。

最近一段时间，一部分厂牌的新能源汽车出现了种种令人意想不到的事故。这些事故的情节往往在传统汽车上闻所未闻。但如果仔细的分析这些事故，又可以隐隐看到一条贯穿在背后的暗线——线传车控（drive-by-wire）。

线传车控（drive-by-wire）是指将驾驶员的操纵输入机械位移信号转化为电信号，经计算机处理之后再传递到执行机构的技术：这种技术与传统的机械控制中操纵输入通过齿轮、皮带、钢缆等机械部件对机械位移信号进行转化不同。可以发现的是，线传车控将传统的“机械-机械”步骤变成了“机械-电子-机械”。这种信号传递使得很多汽车上的进阶应用的实现成本大大下降，具备了量产的可能性。

这些应用包括了“一对多”，也即一个输入信号在两个输出之间分配。新能源汽车的再生制动技术，就要求以刹车踏板行程阈值对各组件的工作进行分配：当行程不超过一定阈值时，不对汽车的液压制动系统施加压力，而是接通发电机利用发电机阻力使车辆减速；当行程超过这一阈值时，再接通液压制动系统进行减速。再生制动系统对新能源汽车节约能源有着很重要的作用：它可以回收动能，降低油耗电耗、延长续航里程，因此近乎每一部带有电动机的汽车都在使用。

当然，这些应用也包括“多对一”，即多个输入信号同时驱动一个输出信号。常见的场景包括了辅助驾驶技术中的车道保持和自适应巡航。例如，在车道保持的实现中，方向盘和车道保持系统共同构成了转向机构的输入，这使得在驾驶员不打转向灯变道的时候，认为发生了车道偏离的车道保持系统可以通过回正方向盘拒绝驾驶员的变道操作。

在刚刚的这两种情况中，驾驶员的意图都被电脑或多或少地修改了：在再生制动的情况中，电脑使用另一种方法实现了驾驶员的目的；而在车道保持的实现中，驾驶员的不规范操作则被电脑拒绝执行。这种执行往往是无形的：如果不是车上的某个指示灯，你很难从内外各地看出，电脑系统悄然改变了驾驶员的操作。

我们不妨将机械故障造成的问题称为“有意无力”：机械系统忠实地服从了驾驶员的请求，但它没有能力完成；将电子系统造成的问题称为“有力无意”：虽然机械系统有能力完成请求，但电子系统出于种种原因而选择不服从。

这额外的一层原因使得判定车辆的故障变得更为困难：与传统上由于机械故障造成的问题可以被驾驶员本人、交通警察或保险定损员在内的大多数人用肉眼发现（例如漏油的刹车）不同，由于电子系统故障造成的问题，普通人很难用肉眼发现。这时，传统的事故调查流程会直接将责任指向驾驶员。因此，甚至产生了车主安装刹车踏板行车记录仪这般令人哭笑不得，啼笑皆非的尴尬场面——驾驶员在传统的交通事故调查流程面前，必须给出自己踩下了刹车踏板的证据，才能洗清自己的肇事嫌疑。

这种拒绝执行的问题，在航空界似曾相识——波音737 Max上安装的机动特性增强系统（Maneuvering Characteristics Augmentation System）就因为攻角传感器故障带来的拒绝执行（飞行员在起飞阶段意图上拉机头，但电脑根据错误的传感器数据持续下压机头）带走了两架飞机346条人命。

但是，由于一些技术以外的问题，汽车领域的问题远比航空领域严重。在两次737 Max事故中，调查员都通过飞行数据记录仪（俗称黑匣子）记录的控制数据，发现了电脑在飞行过程中持续对机身姿态施加的影响，从而发现了问题的主因。但是，这种对问题的周密调查，由于两个原因而几乎不可能在汽车行业进行。

第一个原因是数据收集不是义务化，标准化的。飞行数据记录仪应当记录的数据规格由具有约束力的部门规章规定（例如中国民航规章第121部第343条要求了88项数据，涵盖了飞机的几乎所有动向）。

汽车行业目前制定了类似的玩意儿——汽车事件数据记录系统（Event Data Recorder）正在新能源汽车中推进。但在诊断事故是否由于拒绝执行而导致的时候，EDR起不到任何作用：以刹车失灵为例，EDR中涉及刹车的记录项只有防抱死制动系统状态、纵向 delta-V、最大记录纵向 delta-V、达到最大 delta-V 时间， 纵向、行车制动，开启或关闭、制动踏板位置、自动紧急制动（AEB）系统状态七项数据。

可以看到，由于EDR缺乏了包括制动压力在内的制动系统工作情况细节，调查员无从判定制动失效的真实原因——制动踏板位置只能知道驾驶员有无意愿，纵向减速度只能知道意愿是否实现，而无法知道意愿未实现的原因到底是机械系统无法执行还是电子系统拒绝执行。

这种记录毫无疑问是有瑕疵的——整车厂一方面在智能网联汽车通过GPS收集车主的位置信息，另一方面则对表现驾驶员输入是否被车辆完整、准确、真实地处理的数据视而不见。这种视而不见是可以理解的：在事故发生的时候，如果汽车收集的行驶数据会对整车厂带来可能是灾难性的不利影响的话，那最好的办法就是不要给自己找麻烦，在源头上就不收集、不记录这些数据。

第二个原因是，汽车的数据无论在数量上还是维度上都远较飞机为大——即使整车厂公开了全部数据，人们也没有精力去读取它们。

在飞机的案例中，民航局调查员有充足的时间去做调查，并写出详细的报告书客观地指出事故各方的过失。但中国的汽车保有量和飞机保有量差了五个数量级（运输客机4000架，汽车4亿部），每年发生20多万起交通事故，致死人数六万多人，每八分钟就有一个轮下冤魂。倘若每一件致死交通事故都要根据数据进行细致的调查，那交通警察和保险公司的定损员毫无疑问将会疲于奔命。

同时，汽车内各项电子系统产生的数据及在此基础上进行的逻辑决策，远比飞机记录的数据要复杂许多。波音737 Max上的MCAS系统仅有三维输入：一维是飞机的攻角，一维是襟翼状态，一维是自动驾驶的开关；其决策逻辑也非常简单，自动驾驶为关、襟翼为收起、攻角大于某个阈值就能激活。

但是，现在汽车上运用的系统往往要依靠复杂的传感器和机器学习算法。再生制动系统需要接受包括制动踏板、自动紧急制动、自适应巡航在内的系统的同时输入，并同时接受来自轮速传感器、防抱死系统、电子制动力分配系统、车身电子稳定系统的反馈，还要依靠车速、刹车踏板行程、四轮轮速、电池电压、电池剩余电量等维度在液压制动和再生制动之间做出权衡，对四个轮子精准的施加制动力；而车道保持系统则依靠一个摄像头采集前方道路画面，并通过卷积等算法在画面中寻找道路交通标线（往往是连续的白色或黄色像素点）——这一算法的输入维度可以达到数百万甚至数千万之谱（三原色x数千个横向像素x数千个纵向像素）。

这样的输入和输出使得独立调查近乎不可能进行。在飞机的案例中，MCAS简单的逻辑还能使调查员还能够在不查看软件源码的情况下，通过推理发现MCAS的设计缺陷；但在汽车案例中，如果不对刹车控制系统的源代码进行分析，几乎无法独立梳理刹车失灵的原因。

但没有汽车厂会乐意让自己的系统源代码被公之于众，公开分析——由于新能源汽车硬件的高度同质化，汽车的驾驶体验很大一部分程度上由软件定义，软件设计变得至关重要。因此，厂商高度重视知识产权和商业保密：对离职的软件工程师尚且要以“窃取机密”杀鸡儆猴的车厂，是断不可能允许系统源代码公开的。

这使得车厂“有权无责”：一方面，车厂在系统设计时就不记录、不披露对自己不利的数据；另一方面，车厂也以商业保密的名义阻碍第三方对自身的调查。这种做法使得车厂免于就这种控制权下软件缺陷带来的交通事故承担责任。

这种试图逃避问责的做法是毫无疑问不应该接受的。正如波音737 Max被世界各地的民航当局停飞一样，将不稳定的控制系统引入汽车，以至于给其它道路使用者带来了无妄之灾的汽车制造厂，也应该承担产品被禁止上路的后果。

本文转载自FT中文网，仅代表原出处和原作者观点，仅供参考阅读，不代表本网态度和立场。