警惕車上的“第二決策人”：人機對抗帶來的剎車風險

李瀚明

最近因為一些涉及新能源汽車的交通事故，輔助駕駛及其背后的線傳車控（drive-by-wire）技術正處在風口浪尖。整車廠往往認為，這是因為駕駛員沒有按照道路交通法規正確駕駛;而駕駛員則認為，整車廠對剎車控制等關鍵系統的設計有缺陷。

這是一場對線傳車控技術的可靠性的考驗。線傳車控是將駕駛者的操縱信號經過變換器變成電信號，通過電纜直接傳輸到控制執行器的系統，常見于現代飛機，后為智能汽車所采用。

作為駕駛員意愿和機械能力中間的一層，線傳車控為交通事故的發生提供了一層額外的不確定性。但是在事故調查中最難找到證據：一方面是監管相對滯后，車廠數據收集不全;一方面是數量過多過于復雜，第三方機構缺乏分析能力。

除了出事車輛所屬的車廠和它的競爭對手，沒有人能夠分析這個黑盒子。一方面，出事車輛的制造商出于避免自身被問責的考慮，不樂意自己記錄、分析、披露對自己不利的數據;另一方面，出事車輛制造商出于保護商業秘密的考慮，也不同意讓對手對自己的系統進行逆向分析。

這更是一場對線傳車控技術的可問責性的考驗，整車廠是否應該為系統出事而承擔可能的問責風險？

執法機關陷入三難：如果對每起事故都細致調查，毫無疑問會疲于奔命浪費執法資源;如果每起事故都簡單認為是駕駛員的責任，則會造成公眾對線傳車控汽車產生懷疑（例如會出現保險公司拒保新能源汽車的情況）;如果每起事故都認為是車廠的責任，那車廠恐怕要背上天價的產品缺陷責任賠償，外加可能的刑事指控。

用一句中國老話來說，就是“縣官不如現管”——對車輛的最終控制權，只應該授予在一線直面路況的駕駛員的手上;任何線傳車控技術，都不應該傲慢地凌駕于駕駛員之上。

電子系統有可能拒絕執行剎車指令

在傳統汽車“剎不住車”的原因中，可以分為汽車的客觀因素（制動系統是否能實現剎車意愿）和駕駛員的主觀因素（駕駛員是否有意愿剎車），兩者共同構成條件概率。因此，可以做成一個矩陣：

可以發現，在傳統汽車的情況下，只要秉持“駕駛員善意論”和“是人都會犯錯”兩個基本假設，交通事故調查中對“剎不住車”是誰的責任的判定其實很好進行：

如果制動系統是完好的，客觀原因造成的概率約等于零，由于“是人都會犯錯”，從而推斷是駕駛員的責任;

如果制動系統是故障，那么客觀原因造成的概率極大，由于“駕駛員善意論”，從而推斷是制動系統的責任。

通常而言，機械系統是否故障很好判斷——包括駕駛員本人、交通警察和保險定損員在內的大多數人，都可以用肉眼發現一些情況，并用邏輯推理判斷這些情況和故障之間的關聯：看到地上漏的剎車油，就知道剎車系統出現了漏油的故障。

但是，輔助駕駛和線傳車控系統的發展引入了另一個主觀因素——行車電腦的決定。

行車電腦的引入，使得“剎不住車”的原因有可能是電子系統“拒絕執行”駕駛員剎車的意愿，且這種“拒絕執行”很難找到證據。圖/視覺中國

決定可以分為兩層：一層是輔助駕駛做出的積極決定，系統發現某某情況的時候，電子系統主動讓機械系統執行某操作;二是線傳車控做出的消極決定，在駕駛員意圖進行某操作時，電子系統由于某某因素而拒絕讓機械系統執行這一操作。

這種“不服從”的消極決定在現代汽車的情況下非常常見。

其中一種例子，是新能源汽車出于回收動能、降低能耗的考慮，會在駕駛員踩下制動踏板的時候，拒絕施加液壓制動，而是以再生制動的形式取代。這種在再生制動和液壓制動之間的制動力分配，就是一種典型的“拒絕執行”。

另一種例子，則是帶有車道保持技術的汽車，在駕駛員不打轉向燈變道的時候，會認為車輛發生了車道偏離，而通過回正方向盤拒絕駕駛員的變道操作。這種阻止車輛按照駕駛員的方向行駛的操作，也是一種典型的“拒絕執行”。

可以發現，消極決定作為駕駛員意愿和機械能力中間的一層，為交通事故的發生提供了一層額外的不確定性。

換言之，“剎不住車”的原因，有可能是駕駛員有意愿剎車、機械系統完好有能力剎車，但電子系統由于種種原因（有意無意動機不論），而“拒絕執行”駕駛員剎車的意愿。

而這一層原因最難找到證據——由于事故后機械系統完好，傳統的事故調查流程會直接將責任指向駕駛員。

因此，甚至產生了“車主安裝剎車踏板行車記錄儀”這般令人哭笑不得、啼笑皆非的尷尬場面：駕駛員在傳統的交通事故調查流程面前，必須給出自己踩下了剎車踏板的證據，才能洗清自己的肇事嫌疑。

監管非強制，車廠無意愿記錄數據

這種問題似曾相識——在民航領域因為電腦拒絕執行飛行員指令的“人機對抗”釀成的空難慘劇數不勝數。

例如，波音737 Max上安裝的機動特性增強系統（Maneuvering Characteristics Augmentation System）就因為人機對抗帶走了兩架飛機346條人命。

但是，汽車領域的問題無論在復雜程度上還是在數量上，都遠比航空領域嚴重。在兩次737 Max事故中，調查員都通過飛行數據記錄儀（俗稱黑匣子）記錄的控制數據，發現了電腦在飛行過程中持續根據錯誤的傳感器數據拒絕執行飛行員上拉機頭的意圖，從而發現了問題的主因。但是這種調查由于多種原因，幾乎不可能在汽車行業進行。

第一個原因是數據收集不全，缺少了對事故調查而言至關重要的數據。與飛機上的飛行數據記錄儀類似，GB7258《機動車運行安全技術條件》要求乘用車自2022年1月1日起配備符合GB39732規定的事件數據記錄系統（EDR），對事故發生前車輛的數據進行記錄。

但是，如果以剎車失靈的判斷為例，EDR要求車廠記錄的涉及剎車的記錄項只有“縱向delta-V”“車輛速度”“行車制動，開啟或關閉”三項必需數據，和“防抱死制動系統狀態”“縱向加速度”“制動踏板位置”“制動系統報警狀態”“自動緊急制動（AEB）系統狀態”五項可選數據，而缺乏了包括制動壓力在內的制動系統工作情況細節。

這使得調查員無從根據數據判定制動失效的真實原因——“行車制動，開啟或關閉”和“制動踏板位置”只能知道駕駛員有無意愿，“縱向減速度”和“車輛速度”只能知道意愿是否實現，“防抱死制動系統狀態”“制動系統報警狀態”“自動緊急制動（AEB）系統狀態”只能判斷制動系統是否無法執行，而無法知道事故是否存在電子系統拒絕執行的可能。

這種記錄毫無疑問是有瑕疵的。整車廠一方面在智能網聯汽車中賣力地通過GPS收集車主的行動軌跡用于個性化車內廣告，另一方面則在EDR中選擇性記錄，對機械系統制動壓力、電子系統輸出信號等在線傳車控汽車中表現“駕駛員輸入是否被車輛完整、準確、真實地處理”的數據視而不見。

這種視而不見是可以理解的。在事故發生的時候，如果汽車收集的行駛數據顯示出整車廠的電子系統設計導致了事故的發生，那這種“自證其罪”毫無疑問會對整車廠帶來不利的影響。

這種影響可能是災難性的，就像波音現在面臨的停飛處分和罰款賠償一樣。最好的辦法就是從源頭上徹底斷絕這一可能——不收集、不記錄、不公開這些數據。畢竟，法律沒有要求的話，整車廠怎么可能自找麻煩，自討苦吃呢！

數據太多太復雜，第三方難以檢測

讓我們進一步看第二個原因。汽車和飛機的數據量在數量級上的巨大差別，使得即使整車廠允許司法鑒定單位獲取全部數據，也不可能有獨立的第三方調查員能夠在可以接受的時間內讀懂這樣的數據。

這是因為在真實數據的規模上，汽車內各項電子系統產生的數據及在此基礎上進行的邏輯決策，遠比飛機記錄的數據要復雜許多。

波音737 Max上的MCAS系統僅有三維輸入：一維是飛機的攻角，一維是襟翼狀態，一維是自動駕駛;其決策邏輯也非常簡單：自動駕駛為“關”、襟翼為“收起”，攻角大于某個閾值就能激活。

但是，現在汽車上運用的每個輔助駕駛系統，即使是最廣為使用的系統，都要依靠復雜的傳感器和機器學習算法。例如，車道保持系統依靠一個攝像頭采集前方道路畫面，并通過卷積等算法在畫面中尋找道路交通標線（往往是連續的白色或黃色像素點）。這一算法的輸入維度可以達到數百萬甚至數千萬之譜（三原色×數千個橫向像素×數千個縱向像素）。

再例如，剎車控制系統需要接受包括制動踏板、自動緊急制動、自適應巡航在內的系統的同時輸入，并同時接受來自輪速傳感器、防抱死系統、電子制動力分配系統、車身電子穩定系統的反饋，還要在液壓制動和再生制動之間做出權衡，對四個輪子精準施加制動力。

這樣的輸入和輸出使得系統高度復雜，大大增加了調查問責的復雜度。在飛機的案例中，MCAS簡單的邏輯還能使調查員在不查看MCAS系統軟件源碼的情況下，通過數據分析發現MCAS在錯誤輸入數據的影響下會錯誤地拒絕執行指令這一設計缺陷;但在汽車的案例中，如果不對剎車控制系統的源代碼進行分析，梳理剎車失靈的原因幾乎是不可能的事情。

但沒有汽車廠會樂意讓自己的系統源代碼被公開分析——在機械時代，汽車廠家可以大方地宣傳展示自己的先進技術，反正“拿給你看你都抄不來”;但在電子時代，對汽車駕駛體驗至關重要的控制系統軟件的源代碼，是沒有廠商敢冒著被抄襲復制的風險公開的。

當年的歐美車廠，敢邀請對手一起交流切磋;現在的歐美車廠，天天就知道和對手打知識產權官司。對離職的軟件工程師尚且要以“竊取機密”殺雞儆猴，怎么可能將軟件源代碼在法庭上公之于眾呢？

這一切的原因都在于，車廠推出了一個“有權無責”的系統。

在輔助駕駛的名義下進入車輛的線傳車控，在某種程度上接管了車主對車輛的控制。而在這種控制下，電子系統通過拒絕執行駕駛員的指令，在事實上擁有了對車輛的最終控制權;但由于監管缺位和系統設計不透明，車廠卻可以在發生事故時將責任推給駕駛員，從而免于就這種控制權下軟件缺陷帶來的交通事故承擔責任。

換言之，這些車廠將不成熟的系統推向了社會大眾，意圖讓車主和其他道路使用者承擔本不應承擔的責任這種行為，是不應該接受的。

（編輯：王靜儀）