李瀚明

最近因為一些涉及新能源汽車的交通事故，輔助駕駛及其背后的線傳車控（drive-by-wire）技術(shù)正處在風口浪尖。整車廠往往認為，這是因為駕駛員沒有按照道路交通法規(guī)正確駕駛;而駕駛員則認為，整車廠對剎車控制等關(guān)鍵系統(tǒng)的設(shè)計有缺陷。

這是一場對線傳車控技術(shù)的可靠性的考驗。線傳車控是將駕駛者的操縱信號經(jīng)過變換器變成電信號，通過電纜直接傳輸?shù)娇刂茍?zhí)行器的系統(tǒng)，常見于現(xiàn)代飛機，后為智能汽車所采用。

作為駕駛員意愿和機械能力中間的一層，線傳車控為交通事故的發(fā)生提供了一層額外的不確定性。但是在事故調(diào)查中最難找到證據(jù)：一方面是監(jiān)管相對滯后，車廠數(shù)據(jù)收集不全;一方面是數(shù)量過多過于復(fù)雜，第三方機構(gòu)缺乏分析能力。

除了出事車輛所屬的車廠和它的競爭對手，沒有人能夠分析這個黑盒子。一方面，出事車輛的制造商出于避免自身被問責的考慮，不樂意自己記錄、分析、披露對自己不利的數(shù)據(jù);另一方面，出事車輛制造商出于保護商業(yè)秘密的考慮，也不同意讓對手對自己的系統(tǒng)進行逆向分析。

這更是一場對線傳車控技術(shù)的可問責性的考驗，整車廠是否應(yīng)該為系統(tǒng)出事而承擔可能的問責風險？

執(zhí)法機關(guān)陷入三難：如果對每起事故都細致調(diào)查，毫無疑問會疲于奔命浪費執(zhí)法資源;如果每起事故都簡單認為是駕駛員的責任，則會造成公眾對線傳車控汽車產(chǎn)生懷疑（例如會出現(xiàn)保險公司拒保新能源汽車的情況）;如果每起事故都認為是車廠的責任，那車廠恐怕要背上天價的產(chǎn)品缺陷責任賠償，外加可能的刑事指控。

用一句中國老話來說，就是“縣官不如現(xiàn)管”——對車輛的最終控制權(quán)，只應(yīng)該授予在一線直面路況的駕駛員的手上;任何線傳車控技術(shù)，都不應(yīng)該傲慢地凌駕于駕駛員之上。

電子系統(tǒng)有可能拒絕執(zhí)行剎車指令

在傳統(tǒng)汽車“剎不住車”的原因中，可以分為汽車的客觀因素（制動系統(tǒng)是否能實現(xiàn)剎車意愿）和駕駛員的主觀因素（駕駛員是否有意愿剎車），兩者共同構(gòu)成條件概率。因此，可以做成一個矩陣：

可以發(fā)現(xiàn)，在傳統(tǒng)汽車的情況下，只要秉持“駕駛員善意論”和“是人都會犯錯”兩個基本假設(shè)，交通事故調(diào)查中對“剎不住車”是誰的責任的判定其實很好進行：

如果制動系統(tǒng)是完好的，客觀原因造成的概率約等于零，由于“是人都會犯錯”，從而推斷是駕駛員的責任;

如果制動系統(tǒng)是故障，那么客觀原因造成的概率極大，由于“駕駛員善意論”，從而推斷是制動系統(tǒng)的責任。

通常而言，機械系統(tǒng)是否故障很好判斷——包括駕駛員本人、交通警察和保險定損員在內(nèi)的大多數(shù)人，都可以用肉眼發(fā)現(xiàn)一些情況，并用邏輯推理判斷這些情況和故障之間的關(guān)聯(lián)：看到地上漏的剎車油，就知道剎車系統(tǒng)出現(xiàn)了漏油的故障。

但是，輔助駕駛和線傳車控系統(tǒng)的發(fā)展引入了另一個主觀因素——行車電腦的決定。

行車電腦的引入，使得“剎不住車”的原因有可能是電子系統(tǒng)“拒絕執(zhí)行”駕駛員剎車的意愿，且這種“拒絕執(zhí)行”很難找到證據(jù)。圖/視覺中國

決定可以分為兩層：一層是輔助駕駛做出的積極決定，系統(tǒng)發(fā)現(xiàn)某某情況的時候，電子系統(tǒng)主動讓機械系統(tǒng)執(zhí)行某操作;二是線傳車控做出的消極決定，在駕駛員意圖進行某操作時，電子系統(tǒng)由于某某因素而拒絕讓機械系統(tǒng)執(zhí)行這一操作。

這種“不服從”的消極決定在現(xiàn)代汽車的情況下非常常見。

其中一種例子，是新能源汽車出于回收動能、降低能耗的考慮，會在駕駛員踩下制動踏板的時候，拒絕施加液壓制動，而是以再生制動的形式取代。這種在再生制動和液壓制動之間的制動力分配，就是一種典型的“拒絕執(zhí)行”。

另一種例子，則是帶有車道保持技術(shù)的汽車，在駕駛員不打轉(zhuǎn)向燈變道的時候，會認為車輛發(fā)生了車道偏離，而通過回正方向盤拒絕駕駛員的變道操作。這種阻止車輛按照駕駛員的方向行駛的操作，也是一種典型的“拒絕執(zhí)行”。

可以發(fā)現(xiàn)，消極決定作為駕駛員意愿和機械能力中間的一層，為交通事故的發(fā)生提供了一層額外的不確定性。

換言之，“剎不住車”的原因，有可能是駕駛員有意愿剎車、機械系統(tǒng)完好有能力剎車，但電子系統(tǒng)由于種種原因（有意無意動機不論），而“拒絕執(zhí)行”駕駛員剎車的意愿。

而這一層原因最難找到證據(jù)——由于事故后機械系統(tǒng)完好，傳統(tǒng)的事故調(diào)查流程會直接將責任指向駕駛員。

因此，甚至產(chǎn)生了“車主安裝剎車踏板行車記錄儀”這般令人哭笑不得、啼笑皆非的尷尬場面：駕駛員在傳統(tǒng)的交通事故調(diào)查流程面前，必須給出自己踩下了剎車踏板的證據(jù)，才能洗清自己的肇事嫌疑。

監(jiān)管非強制，車廠無意愿記錄數(shù)據(jù)

這種問題似曾相識——在民航領(lǐng)域因為電腦拒絕執(zhí)行飛行員指令的“人機對抗”釀成的空難慘劇數(shù)不勝數(shù)。

例如，波音737 Max上安裝的機動特性增強系統(tǒng)（Maneuvering Characteristics Augmentation System）就因為人機對抗帶走了兩架飛機346條人命。

但是，汽車領(lǐng)域的問題無論在復(fù)雜程度上還是在數(shù)量上，都遠比航空領(lǐng)域嚴重。在兩次737 Max事故中，調(diào)查員都通過飛行數(shù)據(jù)記錄儀（俗稱黑匣子）記錄的控制數(shù)據(jù)，發(fā)現(xiàn)了電腦在飛行過程中持續(xù)根據(jù)錯誤的傳感器數(shù)據(jù)拒絕執(zhí)行飛行員上拉機頭的意圖，從而發(fā)現(xiàn)了問題的主因。但是這種調(diào)查由于多種原因，幾乎不可能在汽車行業(yè)進行。

第一個原因是數(shù)據(jù)收集不全，缺少了對事故調(diào)查而言至關(guān)重要的數(shù)據(jù)。與飛機上的飛行數(shù)據(jù)記錄儀類似，GB7258《機動車運行安全技術(shù)條件》要求乘用車自2022年1月1日起配備符合GB39732規(guī)定的事件數(shù)據(jù)記錄系統(tǒng)（EDR），對事故發(fā)生前車輛的數(shù)據(jù)進行記錄。

但是，如果以剎車失靈的判斷為例，EDR要求車廠記錄的涉及剎車的記錄項只有“縱向delta-V”“車輛速度”“行車制動，開啟或關(guān)閉”三項必需數(shù)據(jù)，和“防抱死制動系統(tǒng)狀態(tài)”“縱向加速度”“制動踏板位置”“制動系統(tǒng)報警狀態(tài)”“自動緊急制動（AEB）系統(tǒng)狀態(tài)”五項可選數(shù)據(jù)，而缺乏了包括制動壓力在內(nèi)的制動系統(tǒng)工作情況細節(jié)。

這使得調(diào)查員無從根據(jù)數(shù)據(jù)判定制動失效的真實原因——“行車制動，開啟或關(guān)閉”和“制動踏板位置”只能知道駕駛員有無意愿，“縱向減速度”和“車輛速度”只能知道意愿是否實現(xiàn)，“防抱死制動系統(tǒng)狀態(tài)”“制動系統(tǒng)報警狀態(tài)”“自動緊急制動（AEB）系統(tǒng)狀態(tài)”只能判斷制動系統(tǒng)是否無法執(zhí)行，而無法知道事故是否存在電子系統(tǒng)拒絕執(zhí)行的可能。

這種記錄毫無疑問是有瑕疵的。整車廠一方面在智能網(wǎng)聯(lián)汽車中賣力地通過GPS收集車主的行動軌跡用于個性化車內(nèi)廣告，另一方面則在EDR中選擇性記錄，對機械系統(tǒng)制動壓力、電子系統(tǒng)輸出信號等在線傳車控汽車中表現(xiàn)“駕駛員輸入是否被車輛完整、準確、真實地處理”的數(shù)據(jù)視而不見。

這種視而不見是可以理解的。在事故發(fā)生的時候，如果汽車收集的行駛數(shù)據(jù)顯示出整車廠的電子系統(tǒng)設(shè)計導致了事故的發(fā)生，那這種“自證其罪”毫無疑問會對整車廠帶來不利的影響。

這種影響可能是災(zāi)難性的，就像波音現(xiàn)在面臨的停飛處分和罰款賠償一樣。最好的辦法就是從源頭上徹底斷絕這一可能——不收集、不記錄、不公開這些數(shù)據(jù)。畢竟，法律沒有要求的話，整車廠怎么可能自找麻煩，自討苦吃呢！

數(shù)據(jù)太多太復(fù)雜，第三方難以檢測

讓我們進一步看第二個原因。汽車和飛機的數(shù)據(jù)量在數(shù)量級上的巨大差別，使得即使整車廠允許司法鑒定單位獲取全部數(shù)據(jù)，也不可能有獨立的第三方調(diào)查員能夠在可以接受的時間內(nèi)讀懂這樣的數(shù)據(jù)。

這是因為在真實數(shù)據(jù)的規(guī)模上，汽車內(nèi)各項電子系統(tǒng)產(chǎn)生的數(shù)據(jù)及在此基礎(chǔ)上進行的邏輯決策，遠比飛機記錄的數(shù)據(jù)要復(fù)雜許多。

波音737 Max上的MCAS系統(tǒng)僅有三維輸入：一維是飛機的攻角，一維是襟翼狀態(tài)，一維是自動駕駛;其決策邏輯也非常簡單：自動駕駛為“關(guān)”、襟翼為“收起”，攻角大于某個閾值就能激活。

但是，現(xiàn)在汽車上運用的每個輔助駕駛系統(tǒng)，即使是最廣為使用的系統(tǒng)，都要依靠復(fù)雜的傳感器和機器學習算法。例如，車道保持系統(tǒng)依靠一個攝像頭采集前方道路畫面，并通過卷積等算法在畫面中尋找道路交通標線（往往是連續(xù)的白色或黃色像素點）。這一算法的輸入維度可以達到數(shù)百萬甚至數(shù)千萬之譜（三原色×數(shù)千個橫向像素×數(shù)千個縱向像素）。

再例如，剎車控制系統(tǒng)需要接受包括制動踏板、自動緊急制動、自適應(yīng)巡航在內(nèi)的系統(tǒng)的同時輸入，并同時接受來自輪速傳感器、防抱死系統(tǒng)、電子制動力分配系統(tǒng)、車身電子穩(wěn)定系統(tǒng)的反饋，還要在液壓制動和再生制動之間做出權(quán)衡，對四個輪子精準施加制動力。

這樣的輸入和輸出使得系統(tǒng)高度復(fù)雜，大大增加了調(diào)查問責的復(fù)雜度。在飛機的案例中，MCAS簡單的邏輯還能使調(diào)查員在不查看MCAS系統(tǒng)軟件源碼的情況下，通過數(shù)據(jù)分析發(fā)現(xiàn)MCAS在錯誤輸入數(shù)據(jù)的影響下會錯誤地拒絕執(zhí)行指令這一設(shè)計缺陷;但在汽車的案例中，如果不對剎車控制系統(tǒng)的源代碼進行分析，梳理剎車失靈的原因幾乎是不可能的事情。

但沒有汽車廠會樂意讓自己的系統(tǒng)源代碼被公開分析——在機械時代，汽車廠家可以大方地宣傳展示自己的先進技術(shù)，反正“拿給你看你都抄不來”;但在電子時代，對汽車駕駛體驗至關(guān)重要的控制系統(tǒng)軟件的源代碼，是沒有廠商敢冒著被抄襲復(fù)制的風險公開的。

當年的歐美車廠，敢邀請對手一起交流切磋;現(xiàn)在的歐美車廠，天天就知道和對手打知識產(chǎn)權(quán)官司。對離職的軟件工程師尚且要以“竊取機密”殺雞儆猴，怎么可能將軟件源代碼在法庭上公之于眾呢？

這一切的原因都在于，車廠推出了一個“有權(quán)無責”的系統(tǒng)。

在輔助駕駛的名義下進入車輛的線傳車控，在某種程度上接管了車主對車輛的控制。而在這種控制下，電子系統(tǒng)通過拒絕執(zhí)行駕駛員的指令，在事實上擁有了對車輛的最終控制權(quán);但由于監(jiān)管缺位和系統(tǒng)設(shè)計不透明，車廠卻可以在發(fā)生事故時將責任推給駕駛員，從而免于就這種控制權(quán)下軟件缺陷帶來的交通事故承擔責任。

換言之，這些車廠將不成熟的系統(tǒng)推向了社會大眾，意圖讓車主和其他道路使用者承擔本不應(yīng)承擔的責任這種行為，是不應(yīng)該接受的。

（編輯：王靜儀）