警惕車上的“第二決策人”：人機(jī)對(duì)抗帶來(lái)的剎車風(fēng)險(xiǎn)

李瀚明

最近因?yàn)橐恍┥婕靶履茉雌嚨慕煌ㄊ鹿?，輔助駕駛及其背后的線傳車控（drive-by-wire）技術(shù)正處在風(fēng)口浪尖。整車廠往往認(rèn)為，這是因?yàn)轳{駛員沒(méi)有按照道路交通法規(guī)正確駕駛;而駕駛員則認(rèn)為，整車廠對(duì)剎車控制等關(guān)鍵系統(tǒng)的設(shè)計(jì)有缺陷。

這是一場(chǎng)對(duì)線傳車控技術(shù)的可靠性的考驗(yàn)。線傳車控是將駕駛者的操縱信號(hào)經(jīng)過(guò)變換器變成電信號(hào)，通過(guò)電纜直接傳輸?shù)娇刂茍?zhí)行器的系統(tǒng)，常見于現(xiàn)代飛機(jī)，后為智能汽車所采用。

作為駕駛員意愿和機(jī)械能力中間的一層，線傳車控為交通事故的發(fā)生提供了一層額外的不確定性。但是在事故調(diào)查中最難找到證據(jù)：一方面是監(jiān)管相對(duì)滯后，車廠數(shù)據(jù)收集不全;一方面是數(shù)量過(guò)多過(guò)于復(fù)雜，第三方機(jī)構(gòu)缺乏分析能力。

除了出事車輛所屬的車廠和它的競(jìng)爭(zhēng)對(duì)手，沒(méi)有人能夠分析這個(gè)黑盒子。一方面，出事車輛的制造商出于避免自身被問(wèn)責(zé)的考慮，不樂(lè)意自己記錄、分析、披露對(duì)自己不利的數(shù)據(jù);另一方面，出事車輛制造商出于保護(hù)商業(yè)秘密的考慮，也不同意讓對(duì)手對(duì)自己的系統(tǒng)進(jìn)行逆向分析。

這更是一場(chǎng)對(duì)線傳車控技術(shù)的可問(wèn)責(zé)性的考驗(yàn)，整車廠是否應(yīng)該為系統(tǒng)出事而承擔(dān)可能的問(wèn)責(zé)風(fēng)險(xiǎn)？

執(zhí)法機(jī)關(guān)陷入三難：如果對(duì)每起事故都細(xì)致調(diào)查，毫無(wú)疑問(wèn)會(huì)疲于奔命浪費(fèi)執(zhí)法資源;如果每起事故都簡(jiǎn)單認(rèn)為是駕駛員的責(zé)任，則會(huì)造成公眾對(duì)線傳車控汽車產(chǎn)生懷疑（例如會(huì)出現(xiàn)保險(xiǎn)公司拒保新能源汽車的情況）;如果每起事故都認(rèn)為是車廠的責(zé)任，那車廠恐怕要背上天價(jià)的產(chǎn)品缺陷責(zé)任賠償，外加可能的刑事指控。

用一句中國(guó)老話來(lái)說(shuō)，就是“縣官不如現(xiàn)管”——對(duì)車輛的最終控制權(quán)，只應(yīng)該授予在一線直面路況的駕駛員的手上;任何線傳車控技術(shù)，都不應(yīng)該傲慢地凌駕于駕駛員之上。

電子系統(tǒng)有可能拒絕執(zhí)行剎車指令

在傳統(tǒng)汽車“剎不住車”的原因中，可以分為汽車的客觀因素（制動(dòng)系統(tǒng)是否能實(shí)現(xiàn)剎車意愿）和駕駛員的主觀因素（駕駛員是否有意愿剎車），兩者共同構(gòu)成條件概率。因此，可以做成一個(gè)矩陣：

可以發(fā)現(xiàn)，在傳統(tǒng)汽車的情況下，只要秉持“駕駛員善意論”和“是人都會(huì)犯錯(cuò)”兩個(gè)基本假設(shè)，交通事故調(diào)查中對(duì)“剎不住車”是誰(shuí)的責(zé)任的判定其實(shí)很好進(jìn)行：

如果制動(dòng)系統(tǒng)是完好的，客觀原因造成的概率約等于零，由于“是人都會(huì)犯錯(cuò)”，從而推斷是駕駛員的責(zé)任;

如果制動(dòng)系統(tǒng)是故障，那么客觀原因造成的概率極大，由于“駕駛員善意論”，從而推斷是制動(dòng)系統(tǒng)的責(zé)任。

通常而言，機(jī)械系統(tǒng)是否故障很好判斷——包括駕駛員本人、交通警察和保險(xiǎn)定損員在內(nèi)的大多數(shù)人，都可以用肉眼發(fā)現(xiàn)一些情況，并用邏輯推理判斷這些情況和故障之間的關(guān)聯(lián)：看到地上漏的剎車油，就知道剎車系統(tǒng)出現(xiàn)了漏油的故障。

但是，輔助駕駛和線傳車控系統(tǒng)的發(fā)展引入了另一個(gè)主觀因素——行車電腦的決定。

行車電腦的引入，使得“剎不住車”的原因有可能是電子系統(tǒng)“拒絕執(zhí)行”駕駛員剎車的意愿，且這種“拒絕執(zhí)行”很難找到證據(jù)。圖/視覺(jué)中國(guó)

決定可以分為兩層：一層是輔助駕駛做出的積極決定，系統(tǒng)發(fā)現(xiàn)某某情況的時(shí)候，電子系統(tǒng)主動(dòng)讓機(jī)械系統(tǒng)執(zhí)行某操作;二是線傳車控做出的消極決定，在駕駛員意圖進(jìn)行某操作時(shí)，電子系統(tǒng)由于某某因素而拒絕讓機(jī)械系統(tǒng)執(zhí)行這一操作。

這種“不服從”的消極決定在現(xiàn)代汽車的情況下非常常見。

其中一種例子，是新能源汽車出于回收動(dòng)能、降低能耗的考慮，會(huì)在駕駛員踩下制動(dòng)踏板的時(shí)候，拒絕施加液壓制動(dòng)，而是以再生制動(dòng)的形式取代。這種在再生制動(dòng)和液壓制動(dòng)之間的制動(dòng)力分配，就是一種典型的“拒絕執(zhí)行”。

另一種例子，則是帶有車道保持技術(shù)的汽車，在駕駛員不打轉(zhuǎn)向燈變道的時(shí)候，會(huì)認(rèn)為車輛發(fā)生了車道偏離，而通過(guò)回正方向盤拒絕駕駛員的變道操作。這種阻止車輛按照駕駛員的方向行駛的操作，也是一種典型的“拒絕執(zhí)行”。

可以發(fā)現(xiàn)，消極決定作為駕駛員意愿和機(jī)械能力中間的一層，為交通事故的發(fā)生提供了一層額外的不確定性。

換言之，“剎不住車”的原因，有可能是駕駛員有意愿剎車、機(jī)械系統(tǒng)完好有能力剎車，但電子系統(tǒng)由于種種原因（有意無(wú)意動(dòng)機(jī)不論），而“拒絕執(zhí)行”駕駛員剎車的意愿。

而這一層原因最難找到證據(jù)——由于事故后機(jī)械系統(tǒng)完好，傳統(tǒng)的事故調(diào)查流程會(huì)直接將責(zé)任指向駕駛員。

因此，甚至產(chǎn)生了“車主安裝剎車踏板行車記錄儀”這般令人哭笑不得、啼笑皆非的尷尬場(chǎng)面：駕駛員在傳統(tǒng)的交通事故調(diào)查流程面前，必須給出自己踩下了剎車踏板的證據(jù)，才能洗清自己的肇事嫌疑。

監(jiān)管非強(qiáng)制，車廠無(wú)意愿記錄數(shù)據(jù)

這種問(wèn)題似曾相識(shí)——在民航領(lǐng)域因?yàn)殡娔X拒絕執(zhí)行飛行員指令的“人機(jī)對(duì)抗”釀成的空難慘劇數(shù)不勝數(shù)。

例如，波音737 Max上安裝的機(jī)動(dòng)特性增強(qiáng)系統(tǒng)（Maneuvering Characteristics Augmentation System）就因?yàn)槿藱C(jī)對(duì)抗帶走了兩架飛機(jī)346條人命。

但是，汽車領(lǐng)域的問(wèn)題無(wú)論在復(fù)雜程度上還是在數(shù)量上，都遠(yuǎn)比航空領(lǐng)域嚴(yán)重。在兩次737 Max事故中，調(diào)查員都通過(guò)飛行數(shù)據(jù)記錄儀（俗稱黑匣子）記錄的控制數(shù)據(jù)，發(fā)現(xiàn)了電腦在飛行過(guò)程中持續(xù)根據(jù)錯(cuò)誤的傳感器數(shù)據(jù)拒絕執(zhí)行飛行員上拉機(jī)頭的意圖，從而發(fā)現(xiàn)了問(wèn)題的主因。但是這種調(diào)查由于多種原因，幾乎不可能在汽車行業(yè)進(jìn)行。

第一個(gè)原因是數(shù)據(jù)收集不全，缺少了對(duì)事故調(diào)查而言至關(guān)重要的數(shù)據(jù)。與飛機(jī)上的飛行數(shù)據(jù)記錄儀類似，GB7258《機(jī)動(dòng)車運(yùn)行安全技術(shù)條件》要求乘用車自2022年1月1日起配備符合GB39732規(guī)定的事件數(shù)據(jù)記錄系統(tǒng)（EDR），對(duì)事故發(fā)生前車輛的數(shù)據(jù)進(jìn)行記錄。

但是，如果以剎車失靈的判斷為例，EDR要求車廠記錄的涉及剎車的記錄項(xiàng)只有“縱向delta-V”“車輛速度”“行車制動(dòng)，開啟或關(guān)閉”三項(xiàng)必需數(shù)據(jù)，和“防抱死制動(dòng)系統(tǒng)狀態(tài)”“縱向加速度”“制動(dòng)踏板位置”“制動(dòng)系統(tǒng)報(bào)警狀態(tài)”“自動(dòng)緊急制動(dòng)（AEB）系統(tǒng)狀態(tài)”五項(xiàng)可選數(shù)據(jù)，而缺乏了包括制動(dòng)壓力在內(nèi)的制動(dòng)系統(tǒng)工作情況細(xì)節(jié)。

這使得調(diào)查員無(wú)從根據(jù)數(shù)據(jù)判定制動(dòng)失效的真實(shí)原因——“行車制動(dòng)，開啟或關(guān)閉”和“制動(dòng)踏板位置”只能知道駕駛員有無(wú)意愿，“縱向減速度”和“車輛速度”只能知道意愿是否實(shí)現(xiàn)，“防抱死制動(dòng)系統(tǒng)狀態(tài)”“制動(dòng)系統(tǒng)報(bào)警狀態(tài)”“自動(dòng)緊急制動(dòng)（AEB）系統(tǒng)狀態(tài)”只能判斷制動(dòng)系統(tǒng)是否無(wú)法執(zhí)行，而無(wú)法知道事故是否存在電子系統(tǒng)拒絕執(zhí)行的可能。

這種記錄毫無(wú)疑問(wèn)是有瑕疵的。整車廠一方面在智能網(wǎng)聯(lián)汽車中賣力地通過(guò)GPS收集車主的行動(dòng)軌跡用于個(gè)性化車內(nèi)廣告，另一方面則在EDR中選擇性記錄，對(duì)機(jī)械系統(tǒng)制動(dòng)壓力、電子系統(tǒng)輸出信號(hào)等在線傳車控汽車中表現(xiàn)“駕駛員輸入是否被車輛完整、準(zhǔn)確、真實(shí)地處理”的數(shù)據(jù)視而不見。

這種視而不見是可以理解的。在事故發(fā)生的時(shí)候，如果汽車收集的行駛數(shù)據(jù)顯示出整車廠的電子系統(tǒng)設(shè)計(jì)導(dǎo)致了事故的發(fā)生，那這種“自證其罪”毫無(wú)疑問(wèn)會(huì)對(duì)整車廠帶來(lái)不利的影響。

這種影響可能是災(zāi)難性的，就像波音現(xiàn)在面臨的停飛處分和罰款賠償一樣。最好的辦法就是從源頭上徹底斷絕這一可能——不收集、不記錄、不公開這些數(shù)據(jù)。畢竟，法律沒(méi)有要求的話，整車廠怎么可能自找麻煩，自討苦吃呢！

數(shù)據(jù)太多太復(fù)雜，第三方難以檢測(cè)

讓我們進(jìn)一步看第二個(gè)原因。汽車和飛機(jī)的數(shù)據(jù)量在數(shù)量級(jí)上的巨大差別，使得即使整車廠允許司法鑒定單位獲取全部數(shù)據(jù)，也不可能有獨(dú)立的第三方調(diào)查員能夠在可以接受的時(shí)間內(nèi)讀懂這樣的數(shù)據(jù)。

這是因?yàn)樵谡鎸?shí)數(shù)據(jù)的規(guī)模上，汽車內(nèi)各項(xiàng)電子系統(tǒng)產(chǎn)生的數(shù)據(jù)及在此基礎(chǔ)上進(jìn)行的邏輯決策，遠(yuǎn)比飛機(jī)記錄的數(shù)據(jù)要復(fù)雜許多。

波音737 Max上的MCAS系統(tǒng)僅有三維輸入：一維是飛機(jī)的攻角，一維是襟翼狀態(tài)，一維是自動(dòng)駕駛;其決策邏輯也非常簡(jiǎn)單：自動(dòng)駕駛為“關(guān)”、襟翼為“收起”，攻角大于某個(gè)閾值就能激活。

但是，現(xiàn)在汽車上運(yùn)用的每個(gè)輔助駕駛系統(tǒng)，即使是最廣為使用的系統(tǒng)，都要依靠復(fù)雜的傳感器和機(jī)器學(xué)習(xí)算法。例如，車道保持系統(tǒng)依靠一個(gè)攝像頭采集前方道路畫面，并通過(guò)卷積等算法在畫面中尋找道路交通標(biāo)線（往往是連續(xù)的白色或黃色像素點(diǎn)）。這一算法的輸入維度可以達(dá)到數(shù)百萬(wàn)甚至數(shù)千萬(wàn)之譜（三原色×數(shù)千個(gè)橫向像素×數(shù)千個(gè)縱向像素）。

再例如，剎車控制系統(tǒng)需要接受包括制動(dòng)踏板、自動(dòng)緊急制動(dòng)、自適應(yīng)巡航在內(nèi)的系統(tǒng)的同時(shí)輸入，并同時(shí)接受來(lái)自輪速傳感器、防抱死系統(tǒng)、電子制動(dòng)力分配系統(tǒng)、車身電子穩(wěn)定系統(tǒng)的反饋，還要在液壓制動(dòng)和再生制動(dòng)之間做出權(quán)衡，對(duì)四個(gè)輪子精準(zhǔn)施加制動(dòng)力。

這樣的輸入和輸出使得系統(tǒng)高度復(fù)雜，大大增加了調(diào)查問(wèn)責(zé)的復(fù)雜度。在飛機(jī)的案例中，MCAS簡(jiǎn)單的邏輯還能使調(diào)查員在不查看MCAS系統(tǒng)軟件源碼的情況下，通過(guò)數(shù)據(jù)分析發(fā)現(xiàn)MCAS在錯(cuò)誤輸入數(shù)據(jù)的影響下會(huì)錯(cuò)誤地拒絕執(zhí)行指令這一設(shè)計(jì)缺陷;但在汽車的案例中，如果不對(duì)剎車控制系統(tǒng)的源代碼進(jìn)行分析，梳理剎車失靈的原因幾乎是不可能的事情。

但沒(méi)有汽車廠會(huì)樂(lè)意讓自己的系統(tǒng)源代碼被公開分析——在機(jī)械時(shí)代，汽車廠家可以大方地宣傳展示自己的先進(jìn)技術(shù)，反正“拿給你看你都抄不來(lái)”;但在電子時(shí)代，對(duì)汽車駕駛體驗(yàn)至關(guān)重要的控制系統(tǒng)軟件的源代碼，是沒(méi)有廠商敢冒著被抄襲復(fù)制的風(fēng)險(xiǎn)公開的。

當(dāng)年的歐美車廠，敢邀請(qǐng)對(duì)手一起交流切磋;現(xiàn)在的歐美車廠，天天就知道和對(duì)手打知識(shí)產(chǎn)權(quán)官司。對(duì)離職的軟件工程師尚且要以“竊取機(jī)密”殺雞儆猴，怎么可能將軟件源代碼在法庭上公之于眾呢？

這一切的原因都在于，車廠推出了一個(gè)“有權(quán)無(wú)責(zé)”的系統(tǒng)。

在輔助駕駛的名義下進(jìn)入車輛的線傳車控，在某種程度上接管了車主對(duì)車輛的控制。而在這種控制下，電子系統(tǒng)通過(guò)拒絕執(zhí)行駕駛員的指令，在事實(shí)上擁有了對(duì)車輛的最終控制權(quán);但由于監(jiān)管缺位和系統(tǒng)設(shè)計(jì)不透明，車廠卻可以在發(fā)生事故時(shí)將責(zé)任推給駕駛員，從而免于就這種控制權(quán)下軟件缺陷帶來(lái)的交通事故承擔(dān)責(zé)任。

換言之，這些車廠將不成熟的系統(tǒng)推向了社會(huì)大眾，意圖讓車主和其他道路使用者承擔(dān)本不應(yīng)承擔(dān)的責(zé)任這種行為，是不應(yīng)該接受的。

（編輯：王靜儀）