小米SU7高速碰撞爆燃 | 自动驾驶功能你还敢用吗?

头像

阿宝说车

2025-04-12 11:00发布于广东汽车领域创作者

欢迎关注下方公众号阿宝1990,本公众号专注于自动驾驶和智能座舱,每天给你一篇汽车干货,我们始于车,但不止于车。


图片
图片

本文来源:智车科技


3月29日22时44分,一辆小米SU7标准版在安徽德上高速池祁段发生严重交通事故,车辆撞击隔离带水泥桩后起火,造成车内三名女性乘员身亡。


这是小米汽车自2024年上市以来首次遭遇重大安全信任危机。截至4月1日,事故车辆残骸已移交第三方机构鉴定,小米公司向警方提交了行车数据,但并未回答三大争议。


图片


事故发生后,外界一众质疑声接踵而来:

当时的情况,谁能2秒钟反映出这个事态来?2秒钟内谁能立马切换呢?

电池为什么会在车辆发生碰撞的瞬间着火呢?

碰撞后车门锁死,为啥不用机械锁打开?

... ...

面对以上的种种质疑,小米官方发言人给出了这样的一份数据报告:


图片


面对这份颇显冰冷的报告和数据,我们似乎能隐隐约约看到一丝丝责任的推卸和习惯性的甩锅意味。这里我们不对这份报告做过多的评论。


那么,这时也许会有人跳出来问一些high levle的问题:自动驾驶到底安全吗?以后开车应该怎么使用自动驾驶辅助这类功能?现在的自动驾驶辅助系统真的能

达到用户对于安全性的预期吗?


笔者不清楚小米SU7车辆使用说明书中关于自动驾驶辅助系统的具体功能描述和使用注意事项。但是可以预见,大多数用户了解和使用这一功能的途径主要是在购车时从4S店的销售人员那里获得,而很少有人会仔细翻阅那厚厚的说明书。销售人员在介绍功能时是否完全按照使用手册中的内容展开,往往也无从考证。这导致了一个潜在的危险现象:普通用户对自动驾驶或辅助驾驶系统的预期,往往高于产品或系统实际能够提供的性能。



图片


自动驾驶因何而生?


笔者记得刚开始从事自动驾驶研发工作时,国内的自动驾驶技术尚处于起步阶段。在一次部门内部的技术分享会上,我们讨论了一个重要的话题:“为什么要研究自动驾驶这项技术?”当时,大家提到了许多理由,例如提升道路交通安全、提高出行体验与效率、推动能源合理利用和环保、提供更多出行选择等。然而,笔者认为,这些理由中最重要的应该是:提高道路交通安全性。


众所周知,由于驾驶水平,自身状态,人类视野空间等限制,人工驾驶具有较高的安全隐患


图片


大家都知道,抢行、超速、酒驾、疲劳驾驶等行为是造成交通事故的主要原因。而自动驾驶技术中的感知、决策、规划、控制系统,充分地识别道路中各类动态、静态目标、实现自主决策和车辆运行并通过了长时间的虚拟仿真测试以及道路测试。最重要的是,这一系统是“听话的”,不会违反交通规则,而是严格按照规定行驶,这在很大程度上满足了安全性需求。因此,说自动驾驶因安全而生一点不为过,这也凸显了自动驾驶技术本身的重要意义。


图片


不同自动驾驶产品的安全性要求分析


从理论上说,自动驾驶系统确实可以避免驾驶的人为因素,进而提高行驶的安全性,但当前的自动驾驶系统真的能做到比人类驾驶员更安全吗?这里针对当前市场上主流的自动驾驶产品的安全性进行分析和讨论,希望能得出一些结论。


目前市面上主流的自动驾驶系统或产品可以按照场景分为以下四大类:低速载物、高速载物、低速载人、高速载人。


图片


基于ISO26262道路车辆功能安全标准中危害分析和风险评估(HARA)的方法论,整车功能安全完整性等级的分析包含三个维度:功能失效后的可控性;功能失效后在某场景下所造成危害的严重程度;功能在某场景下的暴露度(概率)。


最终车辆某项功能的功能安全完整性等级是由以上三个维度的评分之和获得的。这里我们先不去进行具象化和规范化的分析工作,只基于该理论对以上的四类自动驾驶产品进行一个笼统的分析。


2.1 可控性分析


从可控性角度来看,高速行驶状态下系统功能出现失效后,可控性相比低速状态下更低。想象一下在高速上,横向控制(方向盘控制)功能失效,方向出现乱打或猛打的情况,驾驶员接管系统并将车辆控制到安全的状态下(靠边停车或者平稳驾驶)的可控性明显会小于低速行驶。因此,高速状态系统失效后的可控性较低,低速状态系统失效后的可控性较高。


2.2 严重程度分析


严重程度与可控性有一定区别,需要从两个维度来分析。首先看速度维度,高速状态下系统失效车辆发生事故造成的严重程度往往要高于低速状态。例如车速100km/h行驶时,车辆失控撞向路侧护栏造成的结果很可能就是车毁人亡;而车速30km/h行驶时,车辆失控撞向路侧护栏造成的结果可能是车辆受损和人员受伤。因此从速度维度来看,高速状态系统失效造成的严重程度高于低速状态。


其次看载人与载物维度,在同一速度状态下,载人车辆的智驾系统失效后造成的人员伤亡是远大于载物车辆的,这一点显而易见。


2.3 暴露度分析


暴露度维度无法一概而论,高速场景的暴露度高还是低速场景的暴露度高很难去下结论,针对定义在不同应用场景的自动驾驶系统对应着完全不同的暴露度。因此无法从宏观维度得出四个维度的暴露度高低结论。


基于以上三个维度的分析(确切的说是两个维度)可以初步得出目前自动驾驶在主要应用场景下系统的安全性要求分级是:高速载人>低速载人>高速载物>低速载物。然而,这个结论是相对的,不能绝对看待。从这一结论可以看出,自动驾驶技术的发展和落地路线应该是:先载物后载人,先低速后高速。这种从易到难的顺序应是大家普遍认可的思路。



图片


不同等级自动驾驶系统的

安全性分析


前面我们分析了自动驾驶在不同应用场景下的安全性要求,但没有考虑一个重要的维度,即自动驾驶系统本身的自动化等级。SAE将自动驾驶系统的自动化等级分为了L0-L5,其中最关键的分界点是L3。L3以下的自动驾驶系统通常称为驾驶辅助系统(ADAS),L3及以上的系统通常称为自动驾驶系统(ADS)。这最重要的区别在于:车辆行驶的控制操作中驾驶员是否“在环”。

图片

对于辅助驾驶系统,系统功能失效时驾驶员是实时“在环”的状态,因此可以接管车辆,也就对失效造成的异常情况具有一定可控性。对于自动驾驶系统,系统功能失效时驾驶员是“不在环”的状态,因此在系统失效时对于异常情况是不具备可控性的。基于这样的区分,自动驾驶系统的安全性就需要分两大类来展开:辅助驾驶系统(即L3以下系统)和自动驾驶系统(L3及以上)。

3.1 辅助驾驶系统的安全性分析

如前所述,基于传统的ISO26262功能安全HARA分析理论,辅助驾驶系统是需要考虑可控性的。但在《汽车人因工程学》一书中对于辅助驾驶系统的安全性提到这样一个观点:系统将驾驶人从一部分任务中解放出来(如制动和加速),但同时又增加了新的任务。在系统工作时,驾驶人不得不保持对系统的监控以确保其正常工作。但自动驾驶可能反而使驾驶人工作负荷不足,从而降低其分配给该任务的注意力水平,导致可能在紧急情况下(例如系统功能失效时)驾驶人有可能面临着注意力资源要求爆炸式增长,进而无法及时发现危险或对车辆的控制反应受到影响的情况。


换句话说,自动驾驶功能虽然减轻(或缓解)了一部分驾驶员的体力操作,然而却导致其头脑注意力要高度集中以确保及时接管车辆来避免危险的发生。这样一来,其实际的结果可能是驾驶员在开启自动驾驶系统时不是头脑集中而是身体和头脑全部放松下来,当出现危险时,驾驶员反而无法及时的控制车辆的某一操作(转向、加速、制动等)最终发生事故。这种类似的悲剧貌似在实际中已经发生过。


如果最终结局都是这样的话,那岂不是违背了文章一开始提到的研究自动驾驶技术的初衷—安全吗?这样说来似乎有些讽刺,但这种类似的分析和推理并不无道理。特斯拉早先的一些用户就出现在驾驶过程中,尝试在方向盘上放置矿泉水来骗过系统的接管检测,进而来放松驾驶员对系统的监控。现在看来,这样做是多么的愚

蠢,简直就是在拿自己的生命在开玩笑!但是,这又从另一个侧面反映了用户对于自动驾驶辅助系统能力的信任程度,显然这种信任是过度的,是无知的。


因此,从这一维度来看,自动驾驶辅助系统(更准确的说是L2及一下的自动驾驶系统)是不安全的,这种不安全并不是来自于系统本身,而是来自于用户在使用时系统是的两种不安全因素:用户的违规操作,即类似于上文中说到“欺骗系统”行为;系统对用户使用时的高要求无法被满足,即让用户可以放松手脚的同时让用户保持大脑的高度紧张。


第二点不安全因素显然是系统设计引起的,用户不应该买账。


再回归到系统本身的功能中,我们相信所有公司或者开发者在设计系统时一定都是符合法规的、合理的、安全的功能。但是由于是辅助驾驶系统,在驾驶的大多数时间仍然是人工驾驶,甚至很多时候当系统按照交通规则规范驾驶但却不符合“老司机”操作时,驾驶员会立即接管车辆,按照自己的意图驾驶车辆。而这些场景下其驾驶行为往往是很不安全的。这么看来,自动驾驶辅助系统本身并没有有效“屏蔽”我们一开始提到的人类驾驶员的不安全操作。因此,也没有实现我们安全的初衷。


3.2 自动驾驶系统的安全性分析

分析完了辅助驾驶系统的安全性,再来看一看自动驾驶系统的安全性如何。根据SAE的定义,自动驾驶系统应该是L3及以上的系统,因为L3及以上的系统可以实现驾驶员“不在环”。那这样是不是就能“屏蔽”我们所说的人类危险操作或弱点呢?

答案是:L3还是不行,L4、L5可以做到这一点。


L3的定义是条件的自动驾驶系统,所谓有条件就是系统运行需要满足一定的条件,也就是ODD(运行设计域)。通常包含以下维度:


图片


但其实这些维度真的定义起来是很麻烦的,因为影响驾驶的环境因素太多了,从某种意义上说是无法穷举的。比如系统在设计时无法识别和应对的一种场景是:“自车在道路上行驶,前方车辆上满载的橘子忽然掉落满地”。这种场景超出了系统的ODD,但是系统不能应对的类似奇奇怪怪的场景太多了,如果全部写在ODD中是写不完的,因此智能索性按照上图中的常见类别进行ODD的设计。但是笔者认为这是不严谨的,因为永远无法把系统的边界真正描述清楚。因此ODD是一个伪命题。


那说了这么多,L3系统到底怎么不安全了呢?因为ODD写不清楚吗?是的,确实是其中一个原因,但是原因不止这一个。因为L3在系统功能失效时是需要驾驶员来及时接管的,系统不具备最小风险控制(MRC)的能力。因此,L3同样会遇到前文提到的问题:对驾驶员的专注度和反应时间提出了更高的要求。为什么是“更高”.原因是L3的功能跟全面,更容易引起驾驶员的“麻痹”,甚至是在系统出现故障时驾驶员已经睡着了,从而导致在需要接管车辆是不能及时接管而出现更严重的后果,并且这种情况的概率大大增加了。


L4、L5安全,为什么?这里先说L5,按照SAE的定义L5是没有ODD的,那就不存在写不清楚的情况,换句话说:用户不用关心哪里能开,哪里不能开;啥时候能开,啥时候不能开;这样的问题了。到了L5用户根本就不用关注ODD,也不用关注出现系统失效时要不要接管,这些系统都可以搞定。可以理解为你买了一张大巴票,你就坐车就可以了,开车的事儿司机替你搞定。


再来说L4,L4自动驾驶系统跟L3的区别就是当系统出现失效时或超出ODD时可以自己处理系统使车辆进入最小风险状态。这样对于用户就友好多了,可以开车玩手机、睡觉,不用担心系统提示接管。当然了用户想接管也是可以的,但是不强制要求。因此L4也是安全的。



图片


自动驾驶行业的浮躁


所谓的自动驾驶安全性分析理论,所谓的自动驾驶分级,其实都是一些人搞出来的理论。用户对自动驾驶的要求其实很简单,这里借用一个外行朋友的话:“自动驾驶?那我以后是不是不用考驾照了?”虽然是疑问句,但是很直接的陈述自己的需求。现在市面上的自动驾驶系统能达到这样的要求吗?很显然,达不到。所以之前一些急于求成的厂家宣称自己是自动驾驶系统后导致了一些悲剧的发生,后面大家都改成辅助驾驶系统了。


为了获得更多客户的使用和青睐,基于推出并不能完全满足客户需求甚至没有用的功能来获取产品的增值,这似乎是现在大家的状态。当今的社会,大家都很浮躁,着急量产,着急赚钱,着急证明自己。很少有人耐心的去满足真正的客户需求,甚至连最基本的安全问题都没有解决。


大家是时候放慢脚步了,不要走的太远而忘了我们想要去哪。


- End -