警惕车上的“第二决策人”:人机对抗带来的刹车风险
《财经》杂志交通工业组官方账号文 | 李瀚明
编辑 | 王静仪
编者按
2021年5月7日,广东省韶关市发生了一场严重特斯拉汽车追尾事故。视频画面显示,一辆货车行驶在公路上,随后一辆特斯拉汽车在没有任何预警的前提下高速冲向货车,车头严重受损。
根据韶关市公安局的警情通报,特斯拉汽车驾驶人已当场死亡。对此,特斯拉相关人士对中新社回应,现在也在等待调查结果,还不了解具体情况。
最近因为一些涉及新能源汽车的交通事故,辅助驾驶及其背后的线传车控(drive-by-wire)技术正处在风口浪尖。
整车厂往往认为,这是因为驾驶员没有按照道路交通法规正确驾驶;而驾驶员则认为,整车厂对刹车控制等关键系统的设计有缺陷。
这是一场对线传车控技术的可靠性的考验。线传车控是将驾驶者的操纵信号经过变换器变成电信号,通过电缆直接传输到控制执行器的系统,常见于现代飞机,后为智能汽车所采用。
作为驾驶员意愿和机械能力中间的一层,线传车控为交通事故的发生提供了一层额外的不确定性。但是在事故调查中最难找到证据:一方面是监管相对滞后,车厂数据收集不全;一方面是数量过多过于复杂,第三方机构缺乏分析能力。
除了出事车辆所属的车厂和它的竞争对手,没有人能够分析这个黑盒子。一方面,出事的车的制造商出于避免自身被问责的考虑,不乐意自己记录、分析、披露对自己不利的数据;另一方面,出事的车的制造商出于保护商业秘密的考虑,也不同意让对手对自己的系统进行逆向分析。
这更是一场对线传车控技术的可问责性的考验,整车厂是否应该为系统出事而承担可能的问责风险?
执法机关陷入三难:如果对每起事故都细致调查,毫无疑问会疲于奔命浪费执法资源;如果每起事故都简单认为是驾驶员的责任,则会造成公众对线传车控汽车产生怀疑(例如会出现保险公司拒保新能源汽车的情况);而如果每起事故都认为是车厂的责任,那车厂恐怕要背上天价的产品缺陷责任赔偿,外加可能的刑事指控。
用一句中国老话来说,就是“县官不如现管”——对车辆的最终控制权,只应该授予在一线直面路况的驾驶员的手上;任何线传车控技术,都不应该傲慢地凌驾于驾驶员之上。
电子系统有可能拒绝执行刹车指令
在传统汽车“刹不住车”的原因上,可以分为汽车的客观因素(制动系统是否能实现刹车意愿)和驾驶员的主观因素(驾驶员是否有意愿刹车),两者共同构成条件概率。因此,可以做成一个矩阵:
可以发现,在传统汽车的情况下,只要秉持“驾驶员善意论”和“是人都会犯错”两个基本假设,交通事故调查中对“刹不住车”是谁的责任的判定其实很好进行:
如果制动系统是完好的,客观原因造成的概率约等于0,由于“是人都会犯错”,从而推断是驾驶员的责任;
如果制动系统是故障,那么客观原因造成的概率极大,由于“驾驶员善意论”,从而推断是制动系统的责任。
通常而言,机械系统是否故障很好判断——包括驾驶员本人、交通警察和保险定损员在内的大多数人,都可以用肉眼发现一些情况,并用逻辑推理判断这些情况和故障之间的关联:看到地上漏的刹车油,就知道刹车系统出现了漏油的故障。
但是,辅助驾驶和线传车控系统的发展引入了另一个主观因素——行车电脑的决定。
决定可以分为两层:一层是辅助驾驶做出的积极决定,系统发现某某情况的时候,电子系统主动让机械系统执行某某操作;二是线传车控做出的消极决定,在驾驶员意图进行某某操作时,电子系统由于某某因素而拒绝让机械系统执行这一操作。
这种“不服从”的消极决定在现代汽车的情况下非常常见。
其中一种例子,是新能源汽车出于回收动能、降低能耗的考虑,会在驾驶员踩下制动踏板的时候,拒绝施加液压制动,而是以再生制动的形式取代。这种在再生制动和液压制动之间的制动力分配,就是一种典型的“拒绝执行”。
另一种例子,则是带有车道保持技术的汽车,在驾驶员不打转向灯变道的时候,会认为车辆发生了车道偏离,而通过回正方向盘拒绝驾驶员的变道操作。这种阻止车辆按照驾驶员的方向行驶的操作,也是一种典型的“拒绝执行”。
可以发现,消极决定作为驾驶员意愿和机械能力中间的一层,为交通事故的发生提供了一层额外的不确定性。
换言之,“刹不住车”的原因,有可能是驾驶员有意愿刹车、机械系统完好有能力刹车,但电子系统由于种种原因(有意无意动机不论),而“拒绝执行”驾驶员刹车的意愿。
而这一层原因最难找到证据——由于事故后机械系统完好,传统的事故调查流程会直接将责任指向驾驶员。
因此,甚至产生了“车主安装刹车踏板行车记录仪”这般令人哭笑不得、啼笑皆非的尴尬场面:驾驶员在传统的交通事故调查流程面前,必须给出自己踩下了刹车踏板的证据,才能洗清自己的肇事嫌疑。
监管非强制
车厂无意愿记录数据
这种问题似曾相识——在民航领域因为电脑拒绝执行飞行员指令的“人机对抗”酿成的空难惨剧数不胜数。
例如,波音737 Max上安装的机动特性增强系统(Maneuvering Characteristics Augmentation System)就因为人机对抗带走了两架飞机346条人命。
但是,汽车领域的问题无论在复杂程度上还是在数量上,都远比航空领域严重。在两次737 Max事故中,调查员都通过飞行数据记录仪(俗称黑匣子)记录的控制数据,发现了电脑在飞行过程中持续根据错误的传感器数据拒绝执行飞行员上拉机头的意图,从而发现了问题的主因。但是这种调查由于多种原因,几乎不可能在汽车行业进行。
第一个原因是数据收集不全,缺少了对事故调查而言至关重要的数据。与飞机上的飞行数据记录仪类似,GB7258《机动车运行安全技术条件》要求乘用车自2022年1月1日起配备符合GB39732规定的事件数据记录系统(EDR),对事故发生前车辆的数据进行记录。
但是,如果以刹车失灵的判断为例,EDR要求车厂记录的涉及刹车的记录项只有“纵向 delta-V”“车辆速度”“行车制动,开启或关闭”三项必需数据,和“防抱死制动系统状态”“纵向加速度”“制动踏板位置”“制动系统报警状态”“自动紧急制动(AEB)系统状态”五项可选数据,而缺乏了包括制动压力在内的制动系统工作情况细节。
这使得调查员无从根据数据判定制动失效的真实原因——“行车制动,开启或关闭”和“制动踏板位置”只能知道驾驶员有无意愿,“纵向减速度”和“车辆速度”只能知道意愿是否实现,“防抱死制动系统状态”“制动系统报警状态”“自动紧急制动(AEB)系统状态”只能判断制动系统是否无法执行,而无法知道事故是否存在电子系统拒绝执行的可能。
这种记录毫无疑问是有瑕疵的。整车厂一方面在智能网联汽车中卖力地通过GPS收集车主的行动轨迹用于个性化车内广告,另一方面则在EDR中选择性记录,对机械系统制动压力、电子系统输出信号等在线传车控汽车中表现“驾驶员输入是否被车辆完整、准确、真实地处理”的数据视而不见。
这种视而不见是可以理解的。在事故发生的时候,如果汽车收集的行驶数据显示出整车厂的电子系统设计导致了事故的发生,那这种“自证其罪”毫无疑问会对整车厂带来不利的影响。
这种影响可能是灾难性的,就像波音现在面临的停飞处分和罚款赔偿一样。那最好的办法就是从源头上彻底断绝这一可能——不收集、不记录、不公开这些数据。毕竟,法律没有要求的话,整车厂怎么可能自找麻烦,自讨苦吃呢!
数据太多太复杂
第三方难以检测
让我们进一步看第二个原因。汽车和飞机的数据量在数量级上的巨大差别,使得即使整车厂允许司法鉴定单位获取全部数据,也不可能有独立的第三方调查员能够在可以接受的时间内读懂这样的数据。
这是因为在真实数据的规模上,汽车内各项电子系统产生的数据及在此基础上进行的逻辑决策,远比飞机记录的数据要复杂许多。
波音737 Max上的MCAS系统仅有三维输入:一维是飞机的攻角,一维是襟翼状态,一维是自动驾驶;其决策逻辑也非常简单,自动驾驶为“关”、襟翼为“收起”,攻角大于某个阈值就能激活。
但是,现在汽车上运用的每个辅助驾驶系统,即使是最广为使用的系统,都要依靠复杂的传感器和机器学习算法。例如,车道保持系统依靠一个摄像头采集前方道路画面,并通过卷积等算法在画面中寻找道路交通标线(往往是连续的白色或黄色像素点)。这一算法的输入维度可以达到数百万甚至数千万之谱(三原色x数千个横向像素x数千个纵向像素)。
再例如,刹车控制系统需要接受包括制动踏板、自动紧急制动、自适应巡航在内的系统的同时输入,并同时接受来自轮速传感器、防抱死系统、电子制动力分配系统、车身电子稳定系统的反馈,还要在液压制动和再生制动之间做出权衡,对四个轮子精准施加制动力。
这样的输入和输出使得系统高度复杂,大大增加了调查问责的复杂度。在飞机的案例中,MCAS简单的逻辑还能使调查员还能够在不查看MCAS系统软件源码的情况下,通过数据分析发现MCAS在错误输入数据的影响下会错误地拒绝执行指令这一设计缺陷;但在汽车的案例中,如果不对刹车控制系统的源代码进行分析,梳理刹车失灵的原因几乎是不可能的事情。
但没有汽车厂会乐意让自己的系统源代码被公开分析——在机械时代,汽车厂家可以大方地宣传展示自己的先进技术,反正“拿给你看你都抄不来”;但在电子时代,对汽车驾驶体验至关重要的控制系统软件的源代码,是没有厂商敢冒着被抄袭复制的风险公开的。
当年的欧美车厂,敢邀请对手一起交流切磋;现在的欧美车厂,天天就知道和对手打知识产权官司。对离职的软件工程师尚且要以“窃取机密”杀鸡儆猴,怎么可能将软件源代码在法庭上公之于众呢?
这一切的原因都在于,车厂推出了一个“有权无责”的系统。
在辅助驾驶的名义下进入车辆的线传车控,在某种程度上接管了车主对车辆的控制。而在这种控制下,电子系统通过拒绝执行驾驶员的指令,在事实上拥有了对车辆的最终控制权;但由于监管缺位和系统设计不透明,车厂却可以在发生事故时将责任推给驾驶员,从而免于就这种控制权下软件缺陷带来的交通事故承担责任。
换言之,这些车厂将不成熟的系统推向了社会大众,意图让车主和其它道路使用者承担本不应承担的责任这种行为,是不应该接受的。
(作者系李及李数据分析公司创始人,编辑:王静仪)
