從汽車安全帶說起

安全帶作為汽車發生碰撞過程中保護駕乘人員的基本防護裝置，保護了數以百萬計的人的生命。在今天看來，安全帶是汽車上再基礎不過的必需配置，即使再入門級的車型也會標配安全帶，這毫無爭議，然而你能想象嗎：在六七十年前，很多汽車企業還會在成本與安全的平衡中，將安全帶拿掉或者是作為選裝。

隨著沃爾沃改進了三點式安全帶，并在1967年在美國的一次交通安全會議上提交了《28000起交通事故報告》，這份報告引來了廣泛的關注。因為，報告表明，安全帶不但能挽救生命，還降低了50-60%的受傷幾率。

自此之后，美國汽車安全技術法規（FMVSS）才將安全帶列為“機動車強制安裝配置”，要求從1968年開始，轎車面向前方的座位必須配備安全帶。歐洲和日本等發達國家也相繼制定了一系列規定將安全帶列為強制配置項。中國于1993年，要求小車前排強制使用安全帶，2003年10月28日，《中華人民共和國道路交通安全法》頒布，不系安全帶違法扣分。

總結

可以看到，安全帶標配在汽車上經歷了三個標志性階段，爭議→技術天花板（三點式安全帶改進）→法規強制。

再說到C-NCAP

NCAP（New Car Assessment Program）新車評價程序，主要用于在正面碰撞中評價汽車保護車內乘員的性能，其對于促進汽車OEM提高車輛被動安全性功不可沒。

它起源于美國，在誕生之初曾經被各大汽車OEM"恨之入骨"，因為幾乎所有的車都很難得到3星以上的評價，更別提5星碰撞安全了。后來，陸續其他國家和地區也開始借鑒，在全球的NCAP機構中，EuroNCAP影響力較大。它在歐洲深受消費者歡迎，并擁有廣泛群眾基礎和非常高的公信力。

我國于2006年正式啟動了C-NCAP項目，隨著汽車碰撞的星級評價被人們列為購車選車的一項重要的安全性指標參考，汽車OEM開始越來越重視C-NCAP的安全評級，17年后的今天，C-NCAP已建立起成熟的測評體系，如今5星碰撞安全被汽車OEM作為一個重要的安全亮點和賣點來宣傳。

這足見其對推動安全意識深入到中國汽車企業骨髓的影響。如今，汽車碰撞安全設計體現在各車型的設計平臺之中，體現在車輛安全配置不斷增加的趨勢之中，體現在逐漸被遏制的汽車交通傷害數字之中，更體現在從廠家到消費者的態度和行動之中。

3月30日，中汽中心在其碰撞實驗室完成了第20000次碰撞，從1999年的第一次碰撞，到第20000次碰撞，在一次次乒呤乓啷的巨響中，中國汽車的被動安全水平得以巨大的提升。

總結

C-NCAP 的發展也經歷了幾個標志性階段：OEM的抗拒→被動應對→主動追求。

智能汽車安全

?如今，汽車的主被動安全已經取得了極大的進步，無論是安全技術的實踐應用、以及安全檢測技術的提升，兩者相互促進共同推動著汽車主被動安全的趨向于完善，然而汽車在走向智能化/電動化的過程中卻面臨了更大的安全挑戰。

傳統的分布式EE架構（以控制器為單位，將功能、軟件、硬件相互強綁定在一起），已經無法應對汽車智能化需求：功能和軟件快速迭代。然而其在系統安全上卻有著天然的優勢，如同一個個分兵而治的諸侯（我的底盤我做主），封閉性讓功能控制的復雜度相對低，且安全相關的控制器，一般由實力強大的Tier1來主導開發，Tier1在細分的專項領域有深厚的安全Know-how積累（正是依賴著安全的實現難度形成自己的護城河），即便如此，在功能迭代和產品變更上，仍近乎于苛刻，即通過盡量不變的方式來維持長期以來打磨好的”安全“。

?智能汽車的安全挑戰

挑戰1：域控架構/集成式EE架構的復雜度

功能安全開發所有的開發活動中，都要求盡最大可能降低功能和系統的復雜度，復雜度的上升，對于安全實現的難度而言，是指數級上升的。然而域控架構和集中式EE架構的復雜度是天然的。原來一個功能相對簡單的ASILD控制器的功能安全實現已經相當困難了，域控架構的安全實現難度可想而知。

挑戰2：整車安全功能和系統的"耦合"

相對于原來相互沒有任何交集的驅動、制動、轉向控制系統，如今因為電動化將制動（涉及到傳統制動與能量回收制動分配）與驅動控制耦合成一個更復雜的功能系統；因為自動&輔助駕駛將整車所有的橫縱向控制全部耦合成一個最復雜的大系統（自動駕駛可控制轉向，制動，驅動等所有安全強相關的功能系統），原來獨立、封閉和解耦的安全相關的控制系統完全被打開，這對于功能安全的影響來說是顛覆性的。

挑戰3：OEM自研安全Know-how

傳統開發模式下，功能安全更多是由Tier1來實踐的，OEM更多的是做最上層的安全需求以及最后端的整車集成驗證，如今OEM自研模式下，需要獨立的挑起“功能安全大梁”，這需要Know-how的積累。

挑戰4：“變”是安全的天敵

功能/系統安全的實現需要非常繁復和仔細的論證，一旦論證OK，在穩定的沿用的基礎上，做逐步的優化是最好的選擇，安全設計有時候不是一蹴而就的，需要逐步在分析、測試驗證以及運行中不斷的打磨。而來自于“非優化或完善維度”的變更，有時候對已有的安全策略和方案是顛覆，影響分析和論證需要重新進行，然而在如今功能/軟件變更頻率如此高的背景下，一個完整的安全論證幾乎是不可能完成，在安全論證不充分的情況下，將變更引入的同時也引入了風險。

挑戰5：自動駕駛功能的復雜

功能安全主要是解決由于系統的失效（系統性失效和硬件隨機失效）帶來的安全風險，在自動駕駛功能引入之前，汽車上電子系統安全挑戰主要是來自于這種失效引起的，自動駕駛功能引入后，除了上面提到了帶來了系統復雜度的安全挑戰（功能安全）外，又引入了另一個：預期功能安全。

預期動能安全主要是解決由于系統性能局限和人的誤用帶來的安全風險，簡單來說就是系統即使沒有失效（完全做到了功能安全），仍然不能規避這類安全風險。比如攝像頭在沒有任何功能安全失效的情況下，仍然有可能因為誤識別而做出危險的決策控制，比如“非預期的剎車”、“非預期的沒有剎車”，以及“非預期的轉向”等。

挑戰6：不僅“內憂”還有“外患”

功能安全和預期功能安全，都是在解決系統內部的安全，可謂“內憂”。除了這些，還有來自于系統外部的安全風險，那就是網絡安全（信息安全）。

網絡安全主要是解決系統由于受到主動、刻意的攻擊而面臨的安全風險，可謂“外患”。

功能封閉=百毒不侵：分布式EE架構，安全相關的系統完全封閉，不接受任何來自外部的控制，與網絡物理隔絕，即完全不給機會入侵，相對安全。

如今，功能需要帶來了開放，整車制動、轉向、驅動都需要開放其控制對上游的自動駕駛控制，汽車上有了大腦能夠對汽車所有的安全系統展開控制，這打通了安全控制的鏈路，大大增加了安全入侵面，而且整車連入了互聯網，將安全控制系統暴漏在入侵的威脅中，除此之外，整車OTA功能的引入，也給“不安全軟件”或“非法”軟件刷入到車上帶來了機會。

總結

對于智能汽車而言，功能安全、預期功能安全、網絡安全環環相扣，只有三個維度都做到才能保證安全，缺失任何一個都會使得其他兩個維度所做的努力功虧一簣（水桶效應）。然而現實是，別說三個都做到，做到其中任何一個，都面臨巨大的挑戰，同時做到的難度更是難以想象。

如何應對挑戰？

?從安全帶和C-NCAP案例中得到的啟示，安全水平的提升需要兩個維度的努力：

1. 來自于安全技術的突破

功能安全里有一個很關鍵的概念：功能安全是降低安全風險而非“0”化風險，使之達到”風險可接受”。

這里很多人都會覺得功能安全有點“玄學”，什么是風險可接受？如何度量？

要理解這里的“風險可接受”，需要理解另一個詞“State of the art", 簡單來說就是”標桿技術“。安全的技術水平不是一條靜態的線，而是在行業的不斷努力下，隨著時間的推移持續向上移動的準繩，如同安全帶，在六七十年前不作為標配就是”風險可接受“，而現在則是“完全不能接受”。

這里想表達的是，行業內的企業主動的、自發的在安全技術的探索和提升，是應對安全挑戰的最佳選擇。

這些技術上的探索，會在逐步成熟的過程中，形成“標桿技術”、“技術天花板”，一旦“標桿技術”被認可為行業共識和安全的最佳實踐，就會逐步通過法規約束和檢測技術列為強制要求項。

智能汽車的安全經驗，并不像其他的安全技術，可以很容易顯性化的復制。

就像當前很多功能安全巨頭供應商，其功能安全經驗并不會被公之于眾，而是作為自己的技術護城河，將來的OEM安全的探索和技術積累同樣，安全技術的Know-how越多越深入，就越會在激烈的競爭中脫穎而出。

說白了，安全技術，是可以為降本提供依據和思路的，不做功能/系統安全分析，既無法清楚的看到自己安全的短板，做補足而降低安全風險，也無法看到在某些局部做了過安全設計卻沒有提升整體的安全水平（無用設計）。

2. 檢測技術規范和法規約束

智能汽車安全，對于法規約束和檢測技術規范，也帶來了巨大的挑戰。

不同于傳統的安全檢測，很多的安全可以相對顯性化的測試和檢測，而智能汽車安全，無論是功能安全、預期功能安全、網絡安全都極其困難。

于是，行業內在檢測方法、安全監管上也需要采用更加創新的方式，當前我們也已經看到了一些方向的探索和實踐：

①歐洲的實施經驗參考

功能安全在全世界范圍內，以歐洲實施和落地的最為深入和成熟。雖未法規強制，但幾乎歐洲的所有汽車上下游企業都作為實際強制來實踐的。

這是因為歐洲采用了“寬進窄出”的要求，即企業需要對安全負責，產品一旦出現安全問題，會回溯到開發中是否遵循了功能安全的開發。

②國內：檢測+安全evidence審查并舉

如上描述，單純的依賴檢測來保證智能汽車安全幾乎是無法做到的，功能安全、預期功能安全、網絡安全的水平只有每個企業自身了解，因此需要輔以企業的安全聲明和對自身安全的信心。

GB17675針對功能安全的符合性采用”抽查+審查“的機制，審查企業的“功能安全總結文檔”，這就意味著企業需要對功能安全承諾（這要求企業有信心聲明達到了功能安全），同時保留了對企業詳細安全文檔的審查要求，即出了安全問題，仍然會回溯到企業的功能安全開發是否完整來定責。這有些參考了歐洲的思路。

③汽車安全沙盒監管：

所謂的汽車安全沙盒監管，是在后市場階段針對車輛應用的前沿技術進行深度安全測試的機制，主要目的是引導企業查找問題、改進設計、降低風險。作為傳統監管方式的有益補充，汽車安全沙盒監管變被動監管為主動監管，有利于更早地將前沿技術引發的質量安全問題納入監管范圍，提高應急處置能力，防范和化解重大風險，保護消費者合法權益，同時有利于鼓勵企業技術創新，倡導最佳安全設計實踐。

沙盒監管作為傳統監管方式的有益補充，是一種針對技術創新的柔性監管制度，實際上是為企業提供一個測試平臺和測試周期，在不違反原則性準入標準和監管底線的基礎上，鼓勵企業在不完全掌握產品風險時，自愿開展進一步測試，最大限度地防范產品應用風險。同時，改善監管應對風險的實時性、靈活性，防止監管過嚴對科技創新的抑制，較好地平衡技術創新和安全風險，積極倡導最佳安全實踐，為推動我國汽車產業繁榮健康、安全有序發展提供了新的監管思路。該制度起源于英國，目前美國、德國、日本等20多個國家和地區正在金融、汽車、能源等領域積極推進實施。

推行沙盒監管的目的，是以更安全的方式去鼓勵創新，并達到不斷優化監管模式的效果，有效防止“一管就死，一放就亂”的管理困局，在保護與監管之間找到最佳的結合點。

在我國汽車安全領域引入沙盒監管，鼓勵企業在一定時間范圍內對已經應用在上市車輛上的前沿技術進行深入安全測試，在一定程度上填補標準滯后帶來的監管缺失，有利于監管部門更早地將前沿技術引發的質量安全問題納入監管范圍，更好地保障產品安全底線。參與試點的企業，要主動履行質量安全責任，接受監管部門的管理監督、跟蹤評估和質量服務。雙方共同努力，查找產品安全問題，改進產品設計、制造，降低產品安全風險。

總結：沙盒監管是在被動監管的基礎之上，對于產品應用的新技術，隨著技術水平的不斷提高，監管線動態趨嚴的過程，這正是功能安全state of the art基于當前技術水平對安全可接受水平進行動態適配的最佳詮釋。

審核編輯：劉清