5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。



| 崔珠珠

OR--商业新媒体

5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。

此前在数据监测和使用方面,特斯拉用户手册显示,数据由车辆存储,车辆维修过程中,可由特斯拉维修技师进行访问、使用和存储,或通过车载远程信息系统定期无线传送至特斯拉。特斯拉可以使用该数据,提供特斯拉远程信息服务,进行故障检修,评估汽车质量、功能及性能,进行分析和研究以完成车辆及车辆系统的改良和设计等。

据了解,出于对用户隐私的保护,目前个人用户想要获取车辆数据,需要通过公检法等政府监管部门,申请书面要求才能提供。

值得一提的是,早在今年4月,特斯拉美国官网就发布了事件数据记录器(EDR)查询套件,供车主查询车辆行驶数据。该套件软件部分免费,不过车主检索数据还需购买硬件:USB-Can Bus数据线。官网显示一套完整的EDR查询套件售价高达1200美元,该套件也只面向北美地区客户销售。特斯拉美国官网还显示,EDR在Model S、Model X和Model 3车型中均有配备,当系统感应到碰撞或类似碰撞的情况(如撞上道路障碍物)时,EDR记录与车辆动力学和安全系统相关的数据。该数据存储在车辆约束控制模块(RCM)中。记录的数据可能有助于特斯拉和其他相关方更好地了解导致碰撞和潜在伤害的情况。只有当车辆检测到一个不寻常的物理事件时,才会记录事件数据;在正常行驶条件下,EDR不会记录数据。目前,我国对于行车数据的相关法规尚不健全。中国汽车工业协会秘书长助理兼技术部部长王耀表示,针对自动驾驶数据的确权以及发生事故后车企公布数据的流程还没有明确的法律规定。在自动驾驶数据安全的监管方式上,虽然有不少法律法规,但在智能网联汽车领域仍存在一定的不适用性。

而针对智能汽车的监管方式改进上,王耀建议政府部门可针对智能网联汽车涉及的不同数据类型,修订、补充不适应智能网联汽车发展所需的法规及标准,同时建议通过采用多中心化数据治理模式,进一步完善智能网联汽车的数据监管体系。

又讯:警惕汽车控制系统的黑盒化
李瀚明

汽车上存在的大量新功能,使得人类的操控请求在大部分情况下要经过电子控制系统的翻译才能传递到车轮上。但是这个系统是个黑盒——普通人对它如何工作近乎一无所知。

最近一段时间,一部分厂牌的新能源汽车出现了种种令人意想不到的事故。这些事故的情节往往在传统汽车上闻所未闻。但如果仔细的分析这些事故,又可以隐隐看到一条贯穿在背后的暗线——线传车控(drive-by-wire)。

线传车控(drive-by-wire)是指将驾驶员的操纵输入机械位移信号转化为电信号,经计算机处理之后再传递到执行机构的技术:这种技术与传统的机械控制中操纵输入通过齿轮、皮带、钢缆等机械部件对机械位移信号进行转化不同。可以发现的是,线传车控将传统的“机械-机械”步骤变成了“机械-电子-机械”。这种信号传递使得很多汽车上的进阶应用的实现成本大大下降,具备了量产的可能性。

这些应用包括了“一对多”,也即一个输入信号在两个输出之间分配。新能源汽车的再生制动技术,就要求以刹车踏板行程阈值对各组件的工作进行分配:当行程不超过一定阈值时,不对汽车的液压制动系统施加压力,而是接通发电机利用发电机阻力使车辆减速;当行程超过这一阈值时,再接通液压制动系统进行减速。再生制动系统对新能源汽车节约能源有着很重要的作用:它可以回收动能,降低油耗电耗、延长续航里程,因此近乎每一部带有电动机的汽车都在使用。

当然,这些应用也包括“多对一”,即多个输入信号同时驱动一个输出信号。常见的场景包括了辅助驾驶技术中的车道保持和自适应巡航。例如,在车道保持的实现中,方向盘和车道保持系统共同构成了转向机构的输入,这使得在驾驶员不打转向灯变道的时候,认为发生了车道偏离的车道保持系统可以通过回正方向盘拒绝驾驶员的变道操作。

在刚刚的这两种情况中,驾驶员的意图都被电脑或多或少地修改了:在再生制动的情况中,电脑使用另一种方法实现了驾驶员的目的;而在车道保持的实现中,驾驶员的不规范操作则被电脑拒绝执行。这种执行往往是无形的:如果不是车上的某个指示灯,你很难从内外各地看出,电脑系统悄然改变了驾驶员的操作。

我们不妨将机械故障造成的问题称为“有意无力”:机械系统忠实地服从了驾驶员的请求,但它没有能力完成;将电子系统造成的问题称为“有力无意”:虽然机械系统有能力完成请求,但电子系统出于种种原因而选择不服从。

这额外的一层原因使得判定车辆的故障变得更为困难:与传统上由于机械故障造成的问题可以被驾驶员本人、交通警察或保险定损员在内的大多数人用肉眼发现(例如漏油的刹车)不同,由于电子系统故障造成的问题,普通人很难用肉眼发现。这时,传统的事故调查流程会直接将责任指向驾驶员。因此,甚至产生了车主安装刹车踏板行车记录仪这般令人哭笑不得,啼笑皆非的尴尬场面——驾驶员在传统的交通事故调查流程面前,必须给出自己踩下了刹车踏板的证据,才能洗清自己的肇事嫌疑。

这种拒绝执行的问题,在航空界似曾相识——波音737 Max上安装的机动特性增强系统(Maneuvering Characteristics Augmentation System)就因为攻角传感器故障带来的拒绝执行(飞行员在起飞阶段意图上拉机头,但电脑根据错误的传感器数据持续下压机头)带走了两架飞机346条人命。

但是,由于一些技术以外的问题,汽车领域的问题远比航空领域严重。在两次737 Max事故中,调查员都通过飞行数据记录仪(俗称黑匣子)记录的控制数据,发现了电脑在飞行过程中持续对机身姿态施加的影响,从而发现了问题的主因。但是,这种对问题的周密调查,由于两个原因而几乎不可能在汽车行业进行。

第一个原因是数据收集不是义务化,标准化的。飞行数据记录仪应当记录的数据规格由具有约束力的部门规章规定(例如中国民航规章第121部第343条要求了88项数据,涵盖了飞机的几乎所有动向)。

汽车行业目前制定了类似的玩意儿——汽车事件数据记录系统(Event Data Recorder)正在新能源汽车中推进。但在诊断事故是否由于拒绝执行而导致的时候,EDR起不到任何作用:以刹车失灵为例,EDR中涉及刹车的记录项只有防抱死制动系统状态、纵向 delta-V、最大记录纵向 delta-V、达到最大 delta-V 时间, 纵向、行车制动,开启或关闭、制动踏板位置、自动紧急制动(AEB)系统状态七项数据。

可以看到,由于EDR缺乏了包括制动压力在内的制动系统工作情况细节,调查员无从判定制动失效的真实原因——制动踏板位置只能知道驾驶员有无意愿,纵向减速度只能知道意愿是否实现,而无法知道意愿未实现的原因到底是机械系统无法执行还是电子系统拒绝执行。

这种记录毫无疑问是有瑕疵的——整车厂一方面在智能网联汽车通过GPS收集车主的位置信息,另一方面则对表现驾驶员输入是否被车辆完整、准确、真实地处理的数据视而不见。这种视而不见是可以理解的:在事故发生的时候,如果汽车收集的行驶数据会对整车厂带来可能是灾难性的不利影响的话,那最好的办法就是不要给自己找麻烦,在源头上就不收集、不记录这些数据。

第二个原因是,汽车的数据无论在数量上还是维度上都远较飞机为大——即使整车厂公开了全部数据,人们也没有精力去读取它们。

在飞机的案例中,民航局调查员有充足的时间去做调查,并写出详细的报告书客观地指出事故各方的过失。但中国的汽车保有量和飞机保有量差了五个数量级(运输客机4000架,汽车4亿部),每年发生20多万起交通事故,致死人数六万多人,每八分钟就有一个轮下冤魂。倘若每一件致死交通事故都要根据数据进行细致的调查,那交通警察和保险公司的定损员毫无疑问将会疲于奔命。

同时,汽车内各项电子系统产生的数据及在此基础上进行的逻辑决策,远比飞机记录的数据要复杂许多。波音737 Max上的MCAS系统仅有三维输入:一维是飞机的攻角,一维是襟翼状态,一维是自动驾驶的开关;其决策逻辑也非常简单,自动驾驶为关、襟翼为收起、攻角大于某个阈值就能激活。

但是,现在汽车上运用的系统往往要依靠复杂的传感器和机器学习算法。再生制动系统需要接受包括制动踏板、自动紧急制动、自适应巡航在内的系统的同时输入,并同时接受来自轮速传感器、防抱死系统、电子制动力分配系统、车身电子稳定系统的反馈,还要依靠车速、刹车踏板行程、四轮轮速、电池电压、电池剩余电量等维度在液压制动和再生制动之间做出权衡,对四个轮子精准的施加制动力;而车道保持系统则依靠一个摄像头采集前方道路画面,并通过卷积等算法在画面中寻找道路交通标线(往往是连续的白色或黄色像素点)——这一算法的输入维度可以达到数百万甚至数千万之谱(三原色x数千个横向像素x数千个纵向像素)。

这样的输入和输出使得独立调查近乎不可能进行。在飞机的案例中,MCAS简单的逻辑还能使调查员还能够在不查看软件源码的情况下,通过推理发现MCAS的设计缺陷;但在汽车案例中,如果不对刹车控制系统的源代码进行分析,几乎无法独立梳理刹车失灵的原因。

但没有汽车厂会乐意让自己的系统源代码被公之于众,公开分析——由于新能源汽车硬件的高度同质化,汽车的驾驶体验很大一部分程度上由软件定义,软件设计变得至关重要。因此,厂商高度重视知识产权和商业保密:对离职的软件工程师尚且要以“窃取机密”杀鸡儆猴的车厂,是断不可能允许系统源代码公开的。

这使得车厂“有权无责”:一方面,车厂在系统设计时就不记录、不披露对自己不利的数据;另一方面,车厂也以商业保密的名义阻碍第三方对自身的调查。这种做法使得车厂免于就这种控制权下软件缺陷带来的交通事故承担责任。

这种试图逃避问责的做法是毫无疑问不应该接受的。正如波音737 Max被世界各地的民航当局停飞一样,将不稳定的控制系统引入汽车,以至于给其它道路使用者带来了无妄之灾的汽车制造厂,也应该承担产品被禁止上路的后果。■


(注:本文仅代表作者个人观点。责编邮箱    info@or123.net)



分享到:

特斯拉预计年内上线信息平台,车主可自由获取车机数据

发布日期:2021-05-06 18:28
5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。



| 崔珠珠

OR--商业新媒体

5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。

此前在数据监测和使用方面,特斯拉用户手册显示,数据由车辆存储,车辆维修过程中,可由特斯拉维修技师进行访问、使用和存储,或通过车载远程信息系统定期无线传送至特斯拉。特斯拉可以使用该数据,提供特斯拉远程信息服务,进行故障检修,评估汽车质量、功能及性能,进行分析和研究以完成车辆及车辆系统的改良和设计等。

据了解,出于对用户隐私的保护,目前个人用户想要获取车辆数据,需要通过公检法等政府监管部门,申请书面要求才能提供。

值得一提的是,早在今年4月,特斯拉美国官网就发布了事件数据记录器(EDR)查询套件,供车主查询车辆行驶数据。该套件软件部分免费,不过车主检索数据还需购买硬件:USB-Can Bus数据线。官网显示一套完整的EDR查询套件售价高达1200美元,该套件也只面向北美地区客户销售。特斯拉美国官网还显示,EDR在Model S、Model X和Model 3车型中均有配备,当系统感应到碰撞或类似碰撞的情况(如撞上道路障碍物)时,EDR记录与车辆动力学和安全系统相关的数据。该数据存储在车辆约束控制模块(RCM)中。记录的数据可能有助于特斯拉和其他相关方更好地了解导致碰撞和潜在伤害的情况。只有当车辆检测到一个不寻常的物理事件时,才会记录事件数据;在正常行驶条件下,EDR不会记录数据。目前,我国对于行车数据的相关法规尚不健全。中国汽车工业协会秘书长助理兼技术部部长王耀表示,针对自动驾驶数据的确权以及发生事故后车企公布数据的流程还没有明确的法律规定。在自动驾驶数据安全的监管方式上,虽然有不少法律法规,但在智能网联汽车领域仍存在一定的不适用性。

而针对智能汽车的监管方式改进上,王耀建议政府部门可针对智能网联汽车涉及的不同数据类型,修订、补充不适应智能网联汽车发展所需的法规及标准,同时建议通过采用多中心化数据治理模式,进一步完善智能网联汽车的数据监管体系。

又讯:警惕汽车控制系统的黑盒化
李瀚明

汽车上存在的大量新功能,使得人类的操控请求在大部分情况下要经过电子控制系统的翻译才能传递到车轮上。但是这个系统是个黑盒——普通人对它如何工作近乎一无所知。

最近一段时间,一部分厂牌的新能源汽车出现了种种令人意想不到的事故。这些事故的情节往往在传统汽车上闻所未闻。但如果仔细的分析这些事故,又可以隐隐看到一条贯穿在背后的暗线——线传车控(drive-by-wire)。

线传车控(drive-by-wire)是指将驾驶员的操纵输入机械位移信号转化为电信号,经计算机处理之后再传递到执行机构的技术:这种技术与传统的机械控制中操纵输入通过齿轮、皮带、钢缆等机械部件对机械位移信号进行转化不同。可以发现的是,线传车控将传统的“机械-机械”步骤变成了“机械-电子-机械”。这种信号传递使得很多汽车上的进阶应用的实现成本大大下降,具备了量产的可能性。

这些应用包括了“一对多”,也即一个输入信号在两个输出之间分配。新能源汽车的再生制动技术,就要求以刹车踏板行程阈值对各组件的工作进行分配:当行程不超过一定阈值时,不对汽车的液压制动系统施加压力,而是接通发电机利用发电机阻力使车辆减速;当行程超过这一阈值时,再接通液压制动系统进行减速。再生制动系统对新能源汽车节约能源有着很重要的作用:它可以回收动能,降低油耗电耗、延长续航里程,因此近乎每一部带有电动机的汽车都在使用。

当然,这些应用也包括“多对一”,即多个输入信号同时驱动一个输出信号。常见的场景包括了辅助驾驶技术中的车道保持和自适应巡航。例如,在车道保持的实现中,方向盘和车道保持系统共同构成了转向机构的输入,这使得在驾驶员不打转向灯变道的时候,认为发生了车道偏离的车道保持系统可以通过回正方向盘拒绝驾驶员的变道操作。

在刚刚的这两种情况中,驾驶员的意图都被电脑或多或少地修改了:在再生制动的情况中,电脑使用另一种方法实现了驾驶员的目的;而在车道保持的实现中,驾驶员的不规范操作则被电脑拒绝执行。这种执行往往是无形的:如果不是车上的某个指示灯,你很难从内外各地看出,电脑系统悄然改变了驾驶员的操作。

我们不妨将机械故障造成的问题称为“有意无力”:机械系统忠实地服从了驾驶员的请求,但它没有能力完成;将电子系统造成的问题称为“有力无意”:虽然机械系统有能力完成请求,但电子系统出于种种原因而选择不服从。

这额外的一层原因使得判定车辆的故障变得更为困难:与传统上由于机械故障造成的问题可以被驾驶员本人、交通警察或保险定损员在内的大多数人用肉眼发现(例如漏油的刹车)不同,由于电子系统故障造成的问题,普通人很难用肉眼发现。这时,传统的事故调查流程会直接将责任指向驾驶员。因此,甚至产生了车主安装刹车踏板行车记录仪这般令人哭笑不得,啼笑皆非的尴尬场面——驾驶员在传统的交通事故调查流程面前,必须给出自己踩下了刹车踏板的证据,才能洗清自己的肇事嫌疑。

这种拒绝执行的问题,在航空界似曾相识——波音737 Max上安装的机动特性增强系统(Maneuvering Characteristics Augmentation System)就因为攻角传感器故障带来的拒绝执行(飞行员在起飞阶段意图上拉机头,但电脑根据错误的传感器数据持续下压机头)带走了两架飞机346条人命。

但是,由于一些技术以外的问题,汽车领域的问题远比航空领域严重。在两次737 Max事故中,调查员都通过飞行数据记录仪(俗称黑匣子)记录的控制数据,发现了电脑在飞行过程中持续对机身姿态施加的影响,从而发现了问题的主因。但是,这种对问题的周密调查,由于两个原因而几乎不可能在汽车行业进行。

第一个原因是数据收集不是义务化,标准化的。飞行数据记录仪应当记录的数据规格由具有约束力的部门规章规定(例如中国民航规章第121部第343条要求了88项数据,涵盖了飞机的几乎所有动向)。

汽车行业目前制定了类似的玩意儿——汽车事件数据记录系统(Event Data Recorder)正在新能源汽车中推进。但在诊断事故是否由于拒绝执行而导致的时候,EDR起不到任何作用:以刹车失灵为例,EDR中涉及刹车的记录项只有防抱死制动系统状态、纵向 delta-V、最大记录纵向 delta-V、达到最大 delta-V 时间, 纵向、行车制动,开启或关闭、制动踏板位置、自动紧急制动(AEB)系统状态七项数据。

可以看到,由于EDR缺乏了包括制动压力在内的制动系统工作情况细节,调查员无从判定制动失效的真实原因——制动踏板位置只能知道驾驶员有无意愿,纵向减速度只能知道意愿是否实现,而无法知道意愿未实现的原因到底是机械系统无法执行还是电子系统拒绝执行。

这种记录毫无疑问是有瑕疵的——整车厂一方面在智能网联汽车通过GPS收集车主的位置信息,另一方面则对表现驾驶员输入是否被车辆完整、准确、真实地处理的数据视而不见。这种视而不见是可以理解的:在事故发生的时候,如果汽车收集的行驶数据会对整车厂带来可能是灾难性的不利影响的话,那最好的办法就是不要给自己找麻烦,在源头上就不收集、不记录这些数据。

第二个原因是,汽车的数据无论在数量上还是维度上都远较飞机为大——即使整车厂公开了全部数据,人们也没有精力去读取它们。

在飞机的案例中,民航局调查员有充足的时间去做调查,并写出详细的报告书客观地指出事故各方的过失。但中国的汽车保有量和飞机保有量差了五个数量级(运输客机4000架,汽车4亿部),每年发生20多万起交通事故,致死人数六万多人,每八分钟就有一个轮下冤魂。倘若每一件致死交通事故都要根据数据进行细致的调查,那交通警察和保险公司的定损员毫无疑问将会疲于奔命。

同时,汽车内各项电子系统产生的数据及在此基础上进行的逻辑决策,远比飞机记录的数据要复杂许多。波音737 Max上的MCAS系统仅有三维输入:一维是飞机的攻角,一维是襟翼状态,一维是自动驾驶的开关;其决策逻辑也非常简单,自动驾驶为关、襟翼为收起、攻角大于某个阈值就能激活。

但是,现在汽车上运用的系统往往要依靠复杂的传感器和机器学习算法。再生制动系统需要接受包括制动踏板、自动紧急制动、自适应巡航在内的系统的同时输入,并同时接受来自轮速传感器、防抱死系统、电子制动力分配系统、车身电子稳定系统的反馈,还要依靠车速、刹车踏板行程、四轮轮速、电池电压、电池剩余电量等维度在液压制动和再生制动之间做出权衡,对四个轮子精准的施加制动力;而车道保持系统则依靠一个摄像头采集前方道路画面,并通过卷积等算法在画面中寻找道路交通标线(往往是连续的白色或黄色像素点)——这一算法的输入维度可以达到数百万甚至数千万之谱(三原色x数千个横向像素x数千个纵向像素)。

这样的输入和输出使得独立调查近乎不可能进行。在飞机的案例中,MCAS简单的逻辑还能使调查员还能够在不查看软件源码的情况下,通过推理发现MCAS的设计缺陷;但在汽车案例中,如果不对刹车控制系统的源代码进行分析,几乎无法独立梳理刹车失灵的原因。

但没有汽车厂会乐意让自己的系统源代码被公之于众,公开分析——由于新能源汽车硬件的高度同质化,汽车的驾驶体验很大一部分程度上由软件定义,软件设计变得至关重要。因此,厂商高度重视知识产权和商业保密:对离职的软件工程师尚且要以“窃取机密”杀鸡儆猴的车厂,是断不可能允许系统源代码公开的。

这使得车厂“有权无责”:一方面,车厂在系统设计时就不记录、不披露对自己不利的数据;另一方面,车厂也以商业保密的名义阻碍第三方对自身的调查。这种做法使得车厂免于就这种控制权下软件缺陷带来的交通事故承担责任。

这种试图逃避问责的做法是毫无疑问不应该接受的。正如波音737 Max被世界各地的民航当局停飞一样,将不稳定的控制系统引入汽车,以至于给其它道路使用者带来了无妄之灾的汽车制造厂,也应该承担产品被禁止上路的后果。■


(注:本文仅代表作者个人观点。责编邮箱    info@or123.net)



5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。



| 崔珠珠

OR--商业新媒体

5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。

此前在数据监测和使用方面,特斯拉用户手册显示,数据由车辆存储,车辆维修过程中,可由特斯拉维修技师进行访问、使用和存储,或通过车载远程信息系统定期无线传送至特斯拉。特斯拉可以使用该数据,提供特斯拉远程信息服务,进行故障检修,评估汽车质量、功能及性能,进行分析和研究以完成车辆及车辆系统的改良和设计等。

据了解,出于对用户隐私的保护,目前个人用户想要获取车辆数据,需要通过公检法等政府监管部门,申请书面要求才能提供。

值得一提的是,早在今年4月,特斯拉美国官网就发布了事件数据记录器(EDR)查询套件,供车主查询车辆行驶数据。该套件软件部分免费,不过车主检索数据还需购买硬件:USB-Can Bus数据线。官网显示一套完整的EDR查询套件售价高达1200美元,该套件也只面向北美地区客户销售。特斯拉美国官网还显示,EDR在Model S、Model X和Model 3车型中均有配备,当系统感应到碰撞或类似碰撞的情况(如撞上道路障碍物)时,EDR记录与车辆动力学和安全系统相关的数据。该数据存储在车辆约束控制模块(RCM)中。记录的数据可能有助于特斯拉和其他相关方更好地了解导致碰撞和潜在伤害的情况。只有当车辆检测到一个不寻常的物理事件时,才会记录事件数据;在正常行驶条件下,EDR不会记录数据。目前,我国对于行车数据的相关法规尚不健全。中国汽车工业协会秘书长助理兼技术部部长王耀表示,针对自动驾驶数据的确权以及发生事故后车企公布数据的流程还没有明确的法律规定。在自动驾驶数据安全的监管方式上,虽然有不少法律法规,但在智能网联汽车领域仍存在一定的不适用性。

而针对智能汽车的监管方式改进上,王耀建议政府部门可针对智能网联汽车涉及的不同数据类型,修订、补充不适应智能网联汽车发展所需的法规及标准,同时建议通过采用多中心化数据治理模式,进一步完善智能网联汽车的数据监管体系。

又讯:警惕汽车控制系统的黑盒化
李瀚明

汽车上存在的大量新功能,使得人类的操控请求在大部分情况下要经过电子控制系统的翻译才能传递到车轮上。但是这个系统是个黑盒——普通人对它如何工作近乎一无所知。

最近一段时间,一部分厂牌的新能源汽车出现了种种令人意想不到的事故。这些事故的情节往往在传统汽车上闻所未闻。但如果仔细的分析这些事故,又可以隐隐看到一条贯穿在背后的暗线——线传车控(drive-by-wire)。

线传车控(drive-by-wire)是指将驾驶员的操纵输入机械位移信号转化为电信号,经计算机处理之后再传递到执行机构的技术:这种技术与传统的机械控制中操纵输入通过齿轮、皮带、钢缆等机械部件对机械位移信号进行转化不同。可以发现的是,线传车控将传统的“机械-机械”步骤变成了“机械-电子-机械”。这种信号传递使得很多汽车上的进阶应用的实现成本大大下降,具备了量产的可能性。

这些应用包括了“一对多”,也即一个输入信号在两个输出之间分配。新能源汽车的再生制动技术,就要求以刹车踏板行程阈值对各组件的工作进行分配:当行程不超过一定阈值时,不对汽车的液压制动系统施加压力,而是接通发电机利用发电机阻力使车辆减速;当行程超过这一阈值时,再接通液压制动系统进行减速。再生制动系统对新能源汽车节约能源有着很重要的作用:它可以回收动能,降低油耗电耗、延长续航里程,因此近乎每一部带有电动机的汽车都在使用。

当然,这些应用也包括“多对一”,即多个输入信号同时驱动一个输出信号。常见的场景包括了辅助驾驶技术中的车道保持和自适应巡航。例如,在车道保持的实现中,方向盘和车道保持系统共同构成了转向机构的输入,这使得在驾驶员不打转向灯变道的时候,认为发生了车道偏离的车道保持系统可以通过回正方向盘拒绝驾驶员的变道操作。

在刚刚的这两种情况中,驾驶员的意图都被电脑或多或少地修改了:在再生制动的情况中,电脑使用另一种方法实现了驾驶员的目的;而在车道保持的实现中,驾驶员的不规范操作则被电脑拒绝执行。这种执行往往是无形的:如果不是车上的某个指示灯,你很难从内外各地看出,电脑系统悄然改变了驾驶员的操作。

我们不妨将机械故障造成的问题称为“有意无力”:机械系统忠实地服从了驾驶员的请求,但它没有能力完成;将电子系统造成的问题称为“有力无意”:虽然机械系统有能力完成请求,但电子系统出于种种原因而选择不服从。

这额外的一层原因使得判定车辆的故障变得更为困难:与传统上由于机械故障造成的问题可以被驾驶员本人、交通警察或保险定损员在内的大多数人用肉眼发现(例如漏油的刹车)不同,由于电子系统故障造成的问题,普通人很难用肉眼发现。这时,传统的事故调查流程会直接将责任指向驾驶员。因此,甚至产生了车主安装刹车踏板行车记录仪这般令人哭笑不得,啼笑皆非的尴尬场面——驾驶员在传统的交通事故调查流程面前,必须给出自己踩下了刹车踏板的证据,才能洗清自己的肇事嫌疑。

这种拒绝执行的问题,在航空界似曾相识——波音737 Max上安装的机动特性增强系统(Maneuvering Characteristics Augmentation System)就因为攻角传感器故障带来的拒绝执行(飞行员在起飞阶段意图上拉机头,但电脑根据错误的传感器数据持续下压机头)带走了两架飞机346条人命。

但是,由于一些技术以外的问题,汽车领域的问题远比航空领域严重。在两次737 Max事故中,调查员都通过飞行数据记录仪(俗称黑匣子)记录的控制数据,发现了电脑在飞行过程中持续对机身姿态施加的影响,从而发现了问题的主因。但是,这种对问题的周密调查,由于两个原因而几乎不可能在汽车行业进行。

第一个原因是数据收集不是义务化,标准化的。飞行数据记录仪应当记录的数据规格由具有约束力的部门规章规定(例如中国民航规章第121部第343条要求了88项数据,涵盖了飞机的几乎所有动向)。

汽车行业目前制定了类似的玩意儿——汽车事件数据记录系统(Event Data Recorder)正在新能源汽车中推进。但在诊断事故是否由于拒绝执行而导致的时候,EDR起不到任何作用:以刹车失灵为例,EDR中涉及刹车的记录项只有防抱死制动系统状态、纵向 delta-V、最大记录纵向 delta-V、达到最大 delta-V 时间, 纵向、行车制动,开启或关闭、制动踏板位置、自动紧急制动(AEB)系统状态七项数据。

可以看到,由于EDR缺乏了包括制动压力在内的制动系统工作情况细节,调查员无从判定制动失效的真实原因——制动踏板位置只能知道驾驶员有无意愿,纵向减速度只能知道意愿是否实现,而无法知道意愿未实现的原因到底是机械系统无法执行还是电子系统拒绝执行。

这种记录毫无疑问是有瑕疵的——整车厂一方面在智能网联汽车通过GPS收集车主的位置信息,另一方面则对表现驾驶员输入是否被车辆完整、准确、真实地处理的数据视而不见。这种视而不见是可以理解的:在事故发生的时候,如果汽车收集的行驶数据会对整车厂带来可能是灾难性的不利影响的话,那最好的办法就是不要给自己找麻烦,在源头上就不收集、不记录这些数据。

第二个原因是,汽车的数据无论在数量上还是维度上都远较飞机为大——即使整车厂公开了全部数据,人们也没有精力去读取它们。

在飞机的案例中,民航局调查员有充足的时间去做调查,并写出详细的报告书客观地指出事故各方的过失。但中国的汽车保有量和飞机保有量差了五个数量级(运输客机4000架,汽车4亿部),每年发生20多万起交通事故,致死人数六万多人,每八分钟就有一个轮下冤魂。倘若每一件致死交通事故都要根据数据进行细致的调查,那交通警察和保险公司的定损员毫无疑问将会疲于奔命。

同时,汽车内各项电子系统产生的数据及在此基础上进行的逻辑决策,远比飞机记录的数据要复杂许多。波音737 Max上的MCAS系统仅有三维输入:一维是飞机的攻角,一维是襟翼状态,一维是自动驾驶的开关;其决策逻辑也非常简单,自动驾驶为关、襟翼为收起、攻角大于某个阈值就能激活。

但是,现在汽车上运用的系统往往要依靠复杂的传感器和机器学习算法。再生制动系统需要接受包括制动踏板、自动紧急制动、自适应巡航在内的系统的同时输入,并同时接受来自轮速传感器、防抱死系统、电子制动力分配系统、车身电子稳定系统的反馈,还要依靠车速、刹车踏板行程、四轮轮速、电池电压、电池剩余电量等维度在液压制动和再生制动之间做出权衡,对四个轮子精准的施加制动力;而车道保持系统则依靠一个摄像头采集前方道路画面,并通过卷积等算法在画面中寻找道路交通标线(往往是连续的白色或黄色像素点)——这一算法的输入维度可以达到数百万甚至数千万之谱(三原色x数千个横向像素x数千个纵向像素)。

这样的输入和输出使得独立调查近乎不可能进行。在飞机的案例中,MCAS简单的逻辑还能使调查员还能够在不查看软件源码的情况下,通过推理发现MCAS的设计缺陷;但在汽车案例中,如果不对刹车控制系统的源代码进行分析,几乎无法独立梳理刹车失灵的原因。

但没有汽车厂会乐意让自己的系统源代码被公之于众,公开分析——由于新能源汽车硬件的高度同质化,汽车的驾驶体验很大一部分程度上由软件定义,软件设计变得至关重要。因此,厂商高度重视知识产权和商业保密:对离职的软件工程师尚且要以“窃取机密”杀鸡儆猴的车厂,是断不可能允许系统源代码公开的。

这使得车厂“有权无责”:一方面,车厂在系统设计时就不记录、不披露对自己不利的数据;另一方面,车厂也以商业保密的名义阻碍第三方对自身的调查。这种做法使得车厂免于就这种控制权下软件缺陷带来的交通事故承担责任。

这种试图逃避问责的做法是毫无疑问不应该接受的。正如波音737 Max被世界各地的民航当局停飞一样,将不稳定的控制系统引入汽车,以至于给其它道路使用者带来了无妄之灾的汽车制造厂,也应该承担产品被禁止上路的后果。■


(注:本文仅代表作者个人观点。责编邮箱    info@or123.net)



读者评论
OR
+

您可能感兴趣的资讯
OR
+
最新资讯
OR
+
广告
OR
MORE +

2021.7.9-3logo
关闭
特别推荐
OR
+
最新资讯
MORE +

特斯拉预计年内上线信息平台,车主可自由获取车机数据

发布日期:2021-05-06 18:28
5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。



| 崔珠珠

OR--商业新媒体

5月6日,特斯拉内部人士透露,为了让用户能够自由查看车辆后台数据,特斯拉目前正在开发线上信息系统平台,以供所有车主查询获取车机交互的数据,预计年内上线。

此前在数据监测和使用方面,特斯拉用户手册显示,数据由车辆存储,车辆维修过程中,可由特斯拉维修技师进行访问、使用和存储,或通过车载远程信息系统定期无线传送至特斯拉。特斯拉可以使用该数据,提供特斯拉远程信息服务,进行故障检修,评估汽车质量、功能及性能,进行分析和研究以完成车辆及车辆系统的改良和设计等。

据了解,出于对用户隐私的保护,目前个人用户想要获取车辆数据,需要通过公检法等政府监管部门,申请书面要求才能提供。

值得一提的是,早在今年4月,特斯拉美国官网就发布了事件数据记录器(EDR)查询套件,供车主查询车辆行驶数据。该套件软件部分免费,不过车主检索数据还需购买硬件:USB-Can Bus数据线。官网显示一套完整的EDR查询套件售价高达1200美元,该套件也只面向北美地区客户销售。特斯拉美国官网还显示,EDR在Model S、Model X和Model 3车型中均有配备,当系统感应到碰撞或类似碰撞的情况(如撞上道路障碍物)时,EDR记录与车辆动力学和安全系统相关的数据。该数据存储在车辆约束控制模块(RCM)中。记录的数据可能有助于特斯拉和其他相关方更好地了解导致碰撞和潜在伤害的情况。只有当车辆检测到一个不寻常的物理事件时,才会记录事件数据;在正常行驶条件下,EDR不会记录数据。目前,我国对于行车数据的相关法规尚不健全。中国汽车工业协会秘书长助理兼技术部部长王耀表示,针对自动驾驶数据的确权以及发生事故后车企公布数据的流程还没有明确的法律规定。在自动驾驶数据安全的监管方式上,虽然有不少法律法规,但在智能网联汽车领域仍存在一定的不适用性。

而针对智能汽车的监管方式改进上,王耀建议政府部门可针对智能网联汽车涉及的不同数据类型,修订、补充不适应智能网联汽车发展所需的法规及标准,同时建议通过采用多中心化数据治理模式,进一步完善智能网联汽车的数据监管体系。

又讯:警惕汽车控制系统的黑盒化
李瀚明

汽车上存在的大量新功能,使得人类的操控请求在大部分情况下要经过电子控制系统的翻译才能传递到车轮上。但是这个系统是个黑盒——普通人对它如何工作近乎一无所知。

最近一段时间,一部分厂牌的新能源汽车出现了种种令人意想不到的事故。这些事故的情节往往在传统汽车上闻所未闻。但如果仔细的分析这些事故,又可以隐隐看到一条贯穿在背后的暗线——线传车控(drive-by-wire)。

线传车控(drive-by-wire)是指将驾驶员的操纵输入机械位移信号转化为电信号,经计算机处理之后再传递到执行机构的技术:这种技术与传统的机械控制中操纵输入通过齿轮、皮带、钢缆等机械部件对机械位移信号进行转化不同。可以发现的是,线传车控将传统的“机械-机械”步骤变成了“机械-电子-机械”。这种信号传递使得很多汽车上的进阶应用的实现成本大大下降,具备了量产的可能性。

这些应用包括了“一对多”,也即一个输入信号在两个输出之间分配。新能源汽车的再生制动技术,就要求以刹车踏板行程阈值对各组件的工作进行分配:当行程不超过一定阈值时,不对汽车的液压制动系统施加压力,而是接通发电机利用发电机阻力使车辆减速;当行程超过这一阈值时,再接通液压制动系统进行减速。再生制动系统对新能源汽车节约能源有着很重要的作用:它可以回收动能,降低油耗电耗、延长续航里程,因此近乎每一部带有电动机的汽车都在使用。

当然,这些应用也包括“多对一”,即多个输入信号同时驱动一个输出信号。常见的场景包括了辅助驾驶技术中的车道保持和自适应巡航。例如,在车道保持的实现中,方向盘和车道保持系统共同构成了转向机构的输入,这使得在驾驶员不打转向灯变道的时候,认为发生了车道偏离的车道保持系统可以通过回正方向盘拒绝驾驶员的变道操作。

在刚刚的这两种情况中,驾驶员的意图都被电脑或多或少地修改了:在再生制动的情况中,电脑使用另一种方法实现了驾驶员的目的;而在车道保持的实现中,驾驶员的不规范操作则被电脑拒绝执行。这种执行往往是无形的:如果不是车上的某个指示灯,你很难从内外各地看出,电脑系统悄然改变了驾驶员的操作。

我们不妨将机械故障造成的问题称为“有意无力”:机械系统忠实地服从了驾驶员的请求,但它没有能力完成;将电子系统造成的问题称为“有力无意”:虽然机械系统有能力完成请求,但电子系统出于种种原因而选择不服从。

这额外的一层原因使得判定车辆的故障变得更为困难:与传统上由于机械故障造成的问题可以被驾驶员本人、交通警察或保险定损员在内的大多数人用肉眼发现(例如漏油的刹车)不同,由于电子系统故障造成的问题,普通人很难用肉眼发现。这时,传统的事故调查流程会直接将责任指向驾驶员。因此,甚至产生了车主安装刹车踏板行车记录仪这般令人哭笑不得,啼笑皆非的尴尬场面——驾驶员在传统的交通事故调查流程面前,必须给出自己踩下了刹车踏板的证据,才能洗清自己的肇事嫌疑。

这种拒绝执行的问题,在航空界似曾相识——波音737 Max上安装的机动特性增强系统(Maneuvering Characteristics Augmentation System)就因为攻角传感器故障带来的拒绝执行(飞行员在起飞阶段意图上拉机头,但电脑根据错误的传感器数据持续下压机头)带走了两架飞机346条人命。

但是,由于一些技术以外的问题,汽车领域的问题远比航空领域严重。在两次737 Max事故中,调查员都通过飞行数据记录仪(俗称黑匣子)记录的控制数据,发现了电脑在飞行过程中持续对机身姿态施加的影响,从而发现了问题的主因。但是,这种对问题的周密调查,由于两个原因而几乎不可能在汽车行业进行。

第一个原因是数据收集不是义务化,标准化的。飞行数据记录仪应当记录的数据规格由具有约束力的部门规章规定(例如中国民航规章第121部第343条要求了88项数据,涵盖了飞机的几乎所有动向)。

汽车行业目前制定了类似的玩意儿——汽车事件数据记录系统(Event Data Recorder)正在新能源汽车中推进。但在诊断事故是否由于拒绝执行而导致的时候,EDR起不到任何作用:以刹车失灵为例,EDR中涉及刹车的记录项只有防抱死制动系统状态、纵向 delta-V、最大记录纵向 delta-V、达到最大 delta-V 时间, 纵向、行车制动,开启或关闭、制动踏板位置、自动紧急制动(AEB)系统状态七项数据。

可以看到,由于EDR缺乏了包括制动压力在内的制动系统工作情况细节,调查员无从判定制动失效的真实原因——制动踏板位置只能知道驾驶员有无意愿,纵向减速度只能知道意愿是否实现,而无法知道意愿未实现的原因到底是机械系统无法执行还是电子系统拒绝执行。

这种记录毫无疑问是有瑕疵的——整车厂一方面在智能网联汽车通过GPS收集车主的位置信息,另一方面则对表现驾驶员输入是否被车辆完整、准确、真实地处理的数据视而不见。这种视而不见是可以理解的:在事故发生的时候,如果汽车收集的行驶数据会对整车厂带来可能是灾难性的不利影响的话,那最好的办法就是不要给自己找麻烦,在源头上就不收集、不记录这些数据。

第二个原因是,汽车的数据无论在数量上还是维度上都远较飞机为大——即使整车厂公开了全部数据,人们也没有精力去读取它们。

在飞机的案例中,民航局调查员有充足的时间去做调查,并写出详细的报告书客观地指出事故各方的过失。但中国的汽车保有量和飞机保有量差了五个数量级(运输客机4000架,汽车4亿部),每年发生20多万起交通事故,致死人数六万多人,每八分钟就有一个轮下冤魂。倘若每一件致死交通事故都要根据数据进行细致的调查,那交通警察和保险公司的定损员毫无疑问将会疲于奔命。

同时,汽车内各项电子系统产生的数据及在此基础上进行的逻辑决策,远比飞机记录的数据要复杂许多。波音737 Max上的MCAS系统仅有三维输入:一维是飞机的攻角,一维是襟翼状态,一维是自动驾驶的开关;其决策逻辑也非常简单,自动驾驶为关、襟翼为收起、攻角大于某个阈值就能激活。

但是,现在汽车上运用的系统往往要依靠复杂的传感器和机器学习算法。再生制动系统需要接受包括制动踏板、自动紧急制动、自适应巡航在内的系统的同时输入,并同时接受来自轮速传感器、防抱死系统、电子制动力分配系统、车身电子稳定系统的反馈,还要依靠车速、刹车踏板行程、四轮轮速、电池电压、电池剩余电量等维度在液压制动和再生制动之间做出权衡,对四个轮子精准的施加制动力;而车道保持系统则依靠一个摄像头采集前方道路画面,并通过卷积等算法在画面中寻找道路交通标线(往往是连续的白色或黄色像素点)——这一算法的输入维度可以达到数百万甚至数千万之谱(三原色x数千个横向像素x数千个纵向像素)。

这样的输入和输出使得独立调查近乎不可能进行。在飞机的案例中,MCAS简单的逻辑还能使调查员还能够在不查看软件源码的情况下,通过推理发现MCAS的设计缺陷;但在汽车案例中,如果不对刹车控制系统的源代码进行分析,几乎无法独立梳理刹车失灵的原因。

但没有汽车厂会乐意让自己的系统源代码被公之于众,公开分析——由于新能源汽车硬件的高度同质化,汽车的驾驶体验很大一部分程度上由软件定义,软件设计变得至关重要。因此,厂商高度重视知识产权和商业保密:对离职的软件工程师尚且要以“窃取机密”杀鸡儆猴的车厂,是断不可能允许系统源代码公开的。

这使得车厂“有权无责”:一方面,车厂在系统设计时就不记录、不披露对自己不利的数据;另一方面,车厂也以商业保密的名义阻碍第三方对自身的调查。这种做法使得车厂免于就这种控制权下软件缺陷带来的交通事故承担责任。

这种试图逃避问责的做法是毫无疑问不应该接受的。正如波音737 Max被世界各地的民航当局停飞一样,将不稳定的控制系统引入汽车,以至于给其它道路使用者带来了无妄之灾的汽车制造厂,也应该承担产品被禁止上路的后果。■


(注:本文仅代表作者个人观点。责编邮箱    info@or123.net)



读者评论
+

您可能感兴趣的资讯|商业频道
MORE +