编前:来自国家市场监督管理总局的数据显示,截至2021年年底,国内已累计实施汽车产品召回2423次,涉及缺陷产品9130万辆。近5年来,汽车安全召回平均每1.6天发生一次,汽车企业主动发现问题,主动召回已成为常态。而就2021年召回数量前十的汽车品牌/车企所涉及召回车型看,伴随着汽车产品的电动化、智能化、网联化发展,其原因从传统的硬件故障延展到了系统程序和软件设计问题,呈现出多元化趋势。
消费者对汽车产品的维权事件,为行业发展敲响警钟。不过,应该怎么理解这种警示作用呢?仅仅是对品牌声誉和市场份额的维护?答案不会这么浅显。本刊“3·15”国际消费者权益日特别策划报道,正是要从深层次去挖掘这种对行业的警示意义。
从被动安全到主动安全,再到信息安全与功能安全,汽车安全体系经历了一场技术革命。在汽车“新四化”趋势下,无论监管部门、行业组织还是企业自身,都应好好思考如何应对“软件定义汽车”时代的新考验。
“3·15”国际消费者权益日临近,业内外对于汽车及零部件产品质量安全的关注再度升温。一个值得关注的现象是,在电动化、智能化、网联化高速发展的今天,汽车产品的潜在隐患,除了传统的机械系统、电子电气零部件等常见问题外,又出现了来自新维度的挑战。
无论智能座舱,还是自动驾驶,越来越多的软件出现在汽车上,而由此引发的种种质量安全问题,带来一种新挑战:消费者界定举证难、生产企业分析成因难、政府部门监管更难。
因软件引发的质量安全问题频发
3月4日,北京奔驰汽车有限公司召回部分国产C级汽车,召回数量为25773辆;同日,梅赛德斯-奔驰(中国)汽车销售有限公司召回部分进口S级轿车,召回数量为5034辆。召回的原因均为通信模块控制单元的软件问题,召回维修措施包括汽车远程升级(OTA)或到服务中心进行升级。
2月18日,特斯拉(上海)有限公司根据《缺陷汽车产品召回管理条例》和《缺陷汽车产品召回管理条例实施办法》的要求,向国家市场监督管理总局备案了召回计划。自即日起,召回2020年12月28日至2022年1月15日期间生产的部分国产Model 3(12003辆)和Model Y(14044辆)电动汽车,共计26047辆。召回原因是其中部分车辆“因软件(2021.44至2021.44.30.6版本)没有纠正功能,长期可能造成阀门部分开启,热泵压缩机停止工作,车内制热功能失效”。召回维修措施同样是汽车远程升级(OTA)技术与到服务中心为车辆进行升级并行。据悉,在电子电气架构演进中表现激进的特斯拉,在诠释“软件定义汽车”的同时,近年来却频繁曝出车机系统在车辆行驶中出现故障(无反应或白屏)的新闻。
3月8日,美国国家高速公路交通安全管理局(NHTSA)宣布,自动驾驶技术初创公司小马智行已同意召回其自动驾驶系统软件的部分版本。
平心而论,无论造车新势力还是传统车企,抑或聚焦自动驾驶的科技公司,都难免会遇到诸如智能座舱HMI(人机交互)、自动驾驶软件、算法及地图等方面的一系列问题。
而软件原因给汽车消费者带来的困扰还不仅于此。比较典型的一家造车新势力企业,被多名消费者投诉车辆在门店保养升级后,续驶里程严重缩水。今年年初,更是有173名车主联名发出律师函为此声明主张、维护权益。有分析认为,该企业的4S店通过升级改写电池管理系统(BMS),锁定了电池电量系统级芯片(SOC),从而重新定义了动力电池的电压范围,以限制其充电量和用电量。据了解,这种通过改写BMS对车辆参数“动手脚”的情况并不罕见,特斯拉、上汽荣威、广汽丰田等品牌的部分车型都曾被消费者投诉或曝光过类似问题。
“目前,我们可以粗略地将汽车软件问题大致分为车辆控制问题、车身控制问题、数据通信问题和数据泄露问题等几个大类。”中科院创业投资管理有限公司研究总监邵元骏告诉《中国汽车报》记者,“智能网联汽车尚处于发展初期,行业还在探索电子电气架构的演进阶段,与之相关的软件开发必然存在应用时间短,且不完善的问题,恐难以避免存在一些尚未发现的系统性漏洞。同时,汽车越来越多地接入物联网,与外界的信息交互功能加强,也存在被不法分子恶意攻击的可能性。”
汽车“软”肋何以逐渐形成?
“我们应当全面分析软件层面出现问题的背景。汽车‘新四化’时代,新技术、新产品和新商用模式层出不穷,远远超出了一般传统整车或零部件企业正常的发展速度。从最基础的‘人’的因素讲起,汽车行业当下比较缺乏应用层面的软件人才。”智能网联汽车领域研究者熊淇分析道,“现在只有少数企业意识到了这个问题,开始重视扩大自己的软件团队。姑且不论有能力培育大规模团队的企业凤毛麟角,即便有了这样的人才队伍,汽车软件的特殊性与汽车企业对盈利的追求也会形成矛盾。汽车对于软件的要求,比以手机软件为代表的消费电子领域更严格,这也决定了汽车软件很难像消费电子软件一样低成本迭代。由于整车企业面临成本和交付等方面的压力,很难寄希望于软件团队把所有问题全部搞清楚才装车交付。”
邵元骏告诉记者:“整车及零部件企业底层软件开发安全保障经验不足,架构质量安全体系的前沿技术和方法也明显欠缺。从车企角度来看,一方面可以成立独立的软件部门,雇用专业人才加强研发,另一方面也可以选择与IT企业进行深度合作,联合开发软件技术和产品。目前,行业及政府相关部门也正积极行动,在加快智能网联汽车软件标准体系建设的同时,不断完善质量安全管理体系和应急处理机制,强化软件缺陷的调查力度,倒逼企业主动提升技术和管理水平,强化对软件供应商的质量把控。”
上海艾拉比智能科技有限公司总裁芮亚楠认为,车企和零部件供应商是传统汽车软件开发的行家,在制定标准规范和实现量产应用上有很好的“基本功”。但目前,消费者对于智能网联汽车新功能的期待,以及车企为用户不断创造的差异化体验,远远超出了传统汽车功能范畴,再加上新车型、新功能的开发周期不断压缩,这些因素进一步加大了汽车软件出现缺陷和问题的几率。
“对于国内汽车行业而言,积累是一个漫长而必要的过程。虽然特斯拉的产品出现了不少问题,但其本身的软件能力处在业界领先水平。国内软件开发的整体实力与世界先进水平有一定差距,需要不断提升。”熊淇认为,模仿特斯拉的全栈自研模式不易,外包是较为经济和现实的选择。但这种模式也带来一定的风险,软件分包团队的交付质量难以被衡量和界定。汽车行业较为成熟的零部件开发体系中,有较为完善的测试、认证机制,而类似的环节在汽车软件领域还处于起步阶段。他介绍说:“主流车企一般遵循ISO 26262指导软件开发,其中第六部分‘软件级产品开发’就是专门面向车用软件的。不过,这并非强制性标准。”
企业承担起软件服务商新角色
实事求是地说,由于产业发展日新月异,新车型很难在出厂时达到软件“完结”的状态,需要整车企业不断根据新情况、新问题进行更新升级。由此带来两个结果,一是车企改变了原有的汽车交付及盈利模式,使产品全生命周期付费变成可能;二是OTA技术成为支撑这一改变的重要手段和途径。
在熊淇看来,整车企业的发展范式在当下发生着变化。原来是产品交付实现销售,整车企业便基本完成了自己的工作。但在智能化、网联化趋势下,产品在完成生产、实现销售后,整车企业又扮演了软件‘服务商’的角色。“在汽车产品的全生命周期中,软件不断迭代,于是整车企业提出了基于软件升级的服务模式,与‘订阅’概念非常类似。这种模式从商业上能够走通,从智能网联汽车安全需求的角度看,也是发展的必然。”他对记者说道,“OTA能够提供软件层面、固件系统的更新,这给人们带来思考——汽车业可能已脱离单纯的‘工业’属性,开始结合相当程度的‘服务业’特性。”
芮亚楠说:“从技术角度讲,OTA这种基于无线网络通信的远程升级方式,是智能网联汽车软件升级迭代更为可靠和适用的方案。过去10多年,OTA技术仅局限于影音娱乐系统升级;现在,OTA已可对传动、转向、车身控制等所有ECU进行升级。”据悉,他所在的艾拉比拥有为整车企业提供OTA服务的丰富经验。
芮亚楠向记者介绍,OTA整个闭环过程分为三个步骤:应用场景映射、软件版本管控、OTA分发升级。具体而言,应用场景映射指通过人工设计或数据采集,将汽车软件功能进行分解定义和设计,形成各个软件升级包。软件版本管控指将所有汽车软件升级包进行合理的基线对齐和管理管控。OTA分发升级指通过OTA将软件合理、高效地进行发布并完成升级。对于新软件带来的新问题,也是通过这个闭环进行持续不断的改进提升。“针对这三个阶段,我们分别提供‘OTA数据采集应用’、‘VSS汽车软件管理系统’和‘OTA远程升级服务’三个产品来保证整个业务闭环的完整性和可靠性。”他称。
邵元骏告诉记者,智能网联汽车一般是向集中式的域控制器甚至中央计算平台的电子电气架构演进,使软硬件在零部件层面解耦,软件实现系统性、全栈性的控制权限。车载自动诊断系统及时发现软件问题,通过OTA功能,经由GSM/CDMA/LTE等无线通信方式远程升级软件或固件系统,修复软件故障。传统车企的产品还能够通过4S店等线下途径升级维护。
“汽车软件进行OTA时,同时要保证软件自身安全和OTA通道安全。”芮亚楠指出,“汽车软件安全是一个持续性的迭代过程,而OTA通道安全是一个阶段性过程,根据当下阶段的技术能力和信息安全威胁特性进行系统设计,保证该阶段内所有使用OTA通道的汽车软件升级动作安全可靠。当然,这需要法规、标准等方面的协同支持。”
“2021年,《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》出台具有重要意义,备案等相关制度的完善,规范了整车企业的OTA行为,保护了消费者的知情权,有利于行业长远发展。政策法规体系仍在完善中,未来肯定可以更好地保护消费者权益。”熊淇认为。
启动沙盒监管 建设人才团队
汽车软件问题会影响消费体验甚至带来质量安全隐患,而软件迭代升级时所采用的OTA技术也需严把安全关。这一系列新情况给政府部门的监管带来了极大的挑战。
今年年初,市场监管总局质量发展局副局长王赟松曾表示,将逐步启动沙盒监管制度试点,探索推进沙盒监管制度。“引入沙盒监管,主要是针对车辆应用的前沿技术进行深度安全测试,目的在于引导企业更深层次地查找问题、改进设计、降低风险。作为传统监管方式的补充,沙盒监管既有利于企业技术创新的实践应用,又有助于更早地发现前沿技术引发的安全问题。”王赟松指出,“启动沙盒监管制度试点,可提升召回监管效能,督促企业不断创新,提升产品设计、制造水平,降低产品安全风险。”
“沙盒监管最早由英国政府提出,是主要应用在金融领域的一种监管手段。”工信部赛迪研究院政法所研究室主任张浩向记者解释了这一对行业略显陌生的概念,“结合国内外的一些应用和试点经验,我们建议,提升沙盒监管的效果可以从两方面入手。一是加强监管机构与行政相对人的沟通和交流。沙盒监管实际上是一种微缩式的穿透监管方法,目的是通过试点充分了解和掌握汽车相关前沿技术情况,积累监管经验。在这个过程中,通过监管机构与行政相对人的深度交流,可以快速提高监管机构对技术和产品的认知,也能够帮助企业充分理解监管思路,及时找到问题、改进设计、降低风险。二是及时开发配套监管工具,沙盒监管的有效运用还依赖于检验检测、数据分析、智能交互等配套工具的使用,才能达到更好的效果。”
在监管方式的革新之外,软件人才之困也应引起全行业的足够重视。“提升汽车软件的安全性,最基础的还是要注重人才队伍的培养与建设。目前行业内专门的软件人才紧缺,而且培养周期非常长,10年甚至20年才能成长为专家型人才。整车企业‘耗’不起,行业需求也‘等’不起。我们是否可以借鉴互联网兴起过程中的开源思路。比如,车载操作系统,如果能够实现开源,吸引多方的开发力量,进而形成生态,能够极大程度地节省时间成本、共享车企之间本不富裕的资源。”熊淇表示。
“建设高素质人才队伍,提高工程师能力是降低汽车软件风险的重要措施。”张浩也提出了相似的看法,“优化软件开发流程,尽可能做到规范开发和充分测试;提高代码质量,最好能做到简洁且充分说明;根据软件版本的成熟度和风险等级,分类更新,以兼顾安全和效率等都是行之有效的提升汽车软件质量安全的措施和手段,但这一切的基础是要有一个足够规模、足够专业的团队。”
“汽车行业需要大量跨界的专门技术人才、细分领域专家,以保障行业的稳定健康发展。这要求传统车企以开放的心态,与IT企业、互联网企业、科技企业深度合作,实现优势互补,共同推进智能网联汽车软件的研发与应用。”邵元骏认为,汽车软件问题的成因错综复杂,需要政府相关主管部门、相关企业以及国家级创新中心等创新孵化平台各司其职,从标准制定、认证、监管等多环节、多维度入手,破解汽车“软”肋隐忧。(记者:马鑫 张雅慧)