赵福全对话李骏（下）：“搭载式”汽车开发将过时( 十 ) 汽车行业历经百余年历史

李骏：我认为，智能汽车的安全应分成两类，一类是车辆自身的安全性问题，另一类是数字化网络生态的安全性问题。
对于您提到的第一个问题，我们汽车人都知道一个词，那就是“车规级” 。所有应用到汽车上的技术都必须满足车规级的要求，未来支撑汽车自动驾驶的网络也必须是车规级的，而不是手机通讯级的。要真正实现车网融合一体化，就必须搭建车规级的网络。而车规级的网络不仅体现在传输速度、时延和带宽范围上，更体现在安全性和可靠性上。这就像车规级芯片一样，必须满足汽车的使用要求。为此，我们要制定好车规级网络的标准，建设好满足标准的车规级网络，这样就可以解决网络可靠性的问题了。
同时，智能汽车安全也不能完全依赖于外部网络，车辆自身也要有网络出现问题时的应对方案，也就是要有足够的安全冗余。而且智能汽车安全冗余度的设定肯定不能和传统汽车一样。实际上，车企必须参照ISO21448预期功能安全（SOTIF）等标准，构建一个面向智能化、网联化汽车的新型质量保证体系，而不是继续沿用原来的质保体系。这一点非常重要，中国车企应尽早关注、加快布局。
我们知道开发自动驾驶技术涉及到以下四个定义：DDT（动态驾驶任务）、ODD（设计运行范围）、OEDR（目标和事件探测及响应）和DDT Fallback（动态驾驶任务后备）。自动驾驶汽车要在ODD内完成各种DDT ，而如果OEDR感知到了意外情况，则必须通过DDT Fallback予以解决。这就像人类驾驶汽车的时候，如果在一些路况下感觉自己开不过去了，肯定要安全地停下来，然后请更有经验的人来帮忙，此时千万不能逞强，否则很容易发生事故。将来自动驾驶汽车也要有类似的设计，即当系统失效或者遇到ODD之外的状况时，要控制车辆进入最低风险状态，这就是DDT Fallback的作用。网络出现问题也属于这种情况。
也就是说，当企业还不具备在很大的ODD内完成DDT的能力时，绝不可以让汽车超出能力范围进行自动驾驶。比如奥迪推出的L3级车型，明确规定车辆在自动驾驶状态时，最高车速不能超过60公里/小时。也就是说，这款车是不能在高速公路上自动驾驶的。我觉得这是企业负责任的做法，实事求是地表明自己研发的车型目前达到了什么水平，如果超出了这个范围，就无法保障安全。实际上，所有车企都应该有类似的明确说明。
对于您提到的第二个问题，我是这样看的。自车安全级别高，却被安全级别低的车辆撞到的风险，还是要通过提升智能汽车的能力来解决。未来自动驾驶汽车必须有自己的安全识别区，同时遇到危险状况时，必须有能力做出临危处置。目前我的团队正在做三个模型：一是交通路口模型，二是安全识别区域模型，三是安全大脑模型，就是要解决上述问题。人类驾驶员遇到危险状况时，会下意识踩一脚刹车，这就是安全大脑的作用；对于自动驾驶汽车来说，也要有这种安全大脑技术。这样通过安全识别区来判断可能出现的危险，通过安全大脑在遇到危险时进行紧急应对，安全等级高的智能汽车产品就无需担心被安全级别低的汽车撞到了。
赵福全：也就是说，未来自动驾驶汽车要具备危险识别和处理的能力，能够主动躲避具有潜在风险的其他车辆。这让我联想到，很多人都没有真正理解加速性能对于汽车安全的价值，百公里加速时间短绝不只是汽车动力强劲的体现，其更重要的价值在于，加速性好的车辆在闪避危险状况时可以有更好的表现。
当车辆驾驶主体由人切换到机器的时候，汽车将由物理系统转变成信息物理系统，不仅仍要解决物理安全问题，还要解决信息安全问题，更要解决物理与信息结合的安全问题，所以智能汽车安全已成为全行业面临的严峻挑战。今天时间有限，我们不能就此展开更多讨论了，不过您对相关重要问题都做了非常透彻的阐释，这些观点恰是确保未来智能汽车安全的关键。