最近因為一些涉及新能源汽車的交通事故，輔助駕駛及其背後的線傳車控（drive-by-wire）技術正處在風口浪尖。

整車廠往往認為，這是因為駕駛員沒有按照道路交通法規正確駕駛；而駕駛員則認為，整車廠對剎車控制等關鍵系統的設計有缺陷。

這是一場對線傳車控技術的可靠性的考驗。線傳車控是將駕駛者的操縱訊號經過變換器變成電訊號，透過電纜直接傳輸到控制執行器的系統，常見於現代飛機，後為智慧汽車所採用。

作為駕駛員意願和機械能力中間的一層，線傳車控為交通事故的發生提供了一層額外的不確定性。但是在事故調查中最難找到證據：一方面是監管相對滯後，車廠資料收集不全；一方面是數量過多過於複雜，第三方機構缺乏分析能力。

除了出事車輛所屬的車廠和它的競爭對手，沒有人能夠分析這個黑盒子。一方面，出事的車的製造商出於避免自身被問責的考慮，不樂意自己記錄、分析、披露對自己不利的資料；另一方面，出事的車的製造商出於保護商業秘密的考慮，也不同意讓對手對自己的系統進行逆向分析。

這更是一場對線傳車控技術的可問責性的考驗，整車廠是否應該為系統出事而承擔可能的問責風險？

執法機關陷入三難：如果對每起事故都細緻調查，毫無疑問會疲於奔命浪費執法資源；如果每起事故都簡單認為是駕駛員的責任，則會造成公眾對線傳車控汽車產生懷疑（例如會出現保險公司拒保新能源汽車的情況）；而如果每起事故都認為是車廠的責任，那車廠恐怕要背上天價的產品缺陷責任賠償，外加可能的刑事指控。

用一句中國老話來說，就是“縣官不如現管”——對車輛的最終控制權，只應該授予在一線直面路況的駕駛員的手上；任何線傳車控技術，都不應該傲慢地凌駕於駕駛員之上。

電子系統有可能拒絕執行剎車指令

在傳統汽車“剎不住車”的原因上，可以分為汽車的客觀因素（制動系統是否能實現剎車意願）和駕駛員的主觀因素（駕駛員是否有意願剎車），兩者共同構成條件機率。因此，可以做成一個矩陣：

可以發現，在傳統汽車的情況下，只要秉持“駕駛員善意論”和“是人都會犯錯”兩個基本假設，交通事故調查中對“剎不住車”是誰的責任的判定其實很好進行：

如果制動系統是完好的，客觀原因造成的機率約等於0，由於“是人都會犯錯”，從而推斷是駕駛員的責任；

如果制動系統是故障，那麼客觀原因造成的機率極大，由於“駕駛員善意論”，從而推斷是制動系統的責任。

通常而言，機械系統是否故障很好判斷——包括駕駛員本人、交通警察和保險定損員在內的大多數人，都可以用肉眼發現一些情況，並用邏輯推理判斷這些情況和故障之間的關聯：看到地上漏的剎車油，就知道剎車系統出現了漏油的故障。

但是，輔助駕駛和線傳車控系統的發展引入了另一個主觀因素——行車電腦的決定。

決定可以分為兩層：一層是輔助駕駛做出的積極決定，系統發現某某情況的時候，電子系統主動讓機械系統執行某某操作；二是線傳車控做出的消極決定，在駕駛員意圖進行某某操作時，電子系統由於某某因素而拒絕讓機械系統執行這一操作。

這種“不服從”的消極決定在現代汽車的情況下非常常見。

其中一種例子，是新能源汽車出於回收動能、降低能耗的考慮，會在駕駛員踩下制動踏板的時候，拒絕施加液壓制動，而是以再生制動的形式取代。這種在再生制動和液壓制動之間的制動力分配，就是一種典型的“拒絕執行”。

另一種例子，則是帶有車道保持技術的汽車，在駕駛員不打轉向燈變道的時候，會認為車輛發生了車道偏離，而透過回正方向盤拒絕駕駛員的變道操作。這種阻止車輛按照駕駛員的方向行駛的操作，也是一種典型的“拒絕執行”。

可以發現，消極決定作為駕駛員意願和機械能力中間的一層，為交通事故的發生提供了一層額外的不確定性。

換言之，“剎不住車”的原因，有可能是駕駛員有意願剎車、機械系統完好有能力剎車，但電子系統由於種種原因（有意無意動機不論），而“拒絕執行”駕駛員剎車的意願。

而這一層原因最難找到證據——由於事故後機械系統完好，傳統的事故調查流程會直接將責任指向駕駛員。

因此，甚至產生了“車主安裝剎車踏板行車記錄儀”這般令人哭笑不得、啼笑皆非的尷尬場面：駕駛員在傳統的交通事故調查流程面前，必須給出自己踩下了剎車踏板的證據，才能洗清自己的肇事嫌疑。

監管非強制，車廠無意願記錄資料

這種問題似曾相識——在民航領域因為電腦拒絕執行飛行員指令的“人機對抗”釀成的空難慘劇數不勝數。

例如，波音737 Max上安裝的機動特性增強系統（Maneuvering Characteristics Augmentation System）就因為人機對抗帶走了兩架飛機346條人命。

但是，汽車領域的問題無論在複雜程度上還是在數量上，都遠比航空領域嚴重。在兩次737 Max事故中，調查員都透過飛行資料記錄儀（俗稱黑匣子）記錄的控制資料，發現了電腦在飛行過程中持續根據錯誤的感測器資料拒絕執行飛行員上拉機頭的意圖，從而發現了問題的主因。但是這種調查由於多種原因，幾乎不可能在汽車行業進行。

第一個原因是資料收集不全，缺少了對事故調查而言至關重要的資料。與飛機上的飛行資料記錄儀類似，GB7258《機動車執行安全技術條件》要求乘用車自2022年1月1日起配備符合GB39732規定的事件資料記錄系統（EDR），對事故發生前車輛的資料進行記錄。

但是，如果以剎車失靈的判斷為例，EDR要求車廠記錄的涉及剎車的記錄項只有“縱向 delta-V”“車輛速度”“行車制動，開啟或關閉”三項必需資料，和“防抱死制動系統狀態”“縱向加速度”“制動踏板位置”“制動系統報警狀態”“自動緊急制動（AEB）系統狀態”五項可選資料，而缺乏了包括制動壓力在內的制動系統工作情況細節。

這使得調查員無從根據資料判定製動失效的真實原因——“行車制動，開啟或關閉”和“制動踏板位置”只能知道駕駛員有無意願，“縱向減速度”和“車輛速度”只能知道意願是否實現，“防抱死制動系統狀態”“制動系統報警狀態”“自動緊急制動（AEB）系統狀態”只能判斷制動系統是否無法執行，而無法知道事故是否存在電子系統拒絕執行的可能。

這種記錄毫無疑問是有瑕疵的。整車廠一方面在智慧網聯汽車中賣力地透過GPS收集車主的行動軌跡用於個性化車內廣告，另一方面則在EDR中選擇性記錄，對機械系統制動壓力、電子系統輸出訊號等線上傳車控汽車中表現“駕駛員輸入是否被車輛完整、準確、真實地處理”的資料視而不見。

這種視而不見是可以理解的。在事故發生的時候，如果汽車收集的行駛資料顯示出整車廠的電子系統設計導致了事故的發生，那這種“自證其罪”毫無疑問會對整車廠帶來不利的影響。

這種影響可能是災難性的，就像波音現在面臨的停飛處分和罰款賠償一樣。那最好的辦法就是從源頭上徹底斷絕這一可能——不收集、不記錄、不公開這些資料。畢竟，法律沒有要求的話，整車廠怎麼可能自找麻煩，自討苦吃呢！

資料太多太複雜，第三方難以檢測

讓我們進一步看第二個原因。汽車和飛機的資料量在數量級上的巨大差別，使得即使整車廠允許司法鑑定單位獲取全部資料，也不可能有獨立的第三方調查員能夠在可以接受的時間內讀懂這樣的資料。

這是因為在真實資料的規模上，汽車內各項電子系統產生的資料及在此基礎上進行的邏輯決策，遠比飛機記錄的資料要複雜許多。

波音737 Max上的MCAS系統僅有三維輸入：一維是飛機的攻角，一維是襟翼狀態，一維是自動駕駛；其決策邏輯也非常簡單，自動駕駛為“關”、襟翼為“收起”，攻角大於某個閾值就能啟用。

但是，現在汽車上運用的每個輔助駕駛系統，即使是最廣為使用的系統，都要依靠複雜的感測器和機器學習演算法。例如，車道保持系統依靠一個攝像頭採集前方道路畫面，並透過卷積等演算法在畫面中尋找道路交通標線（往往是連續的白色或黃色畫素點）。這一演算法的輸入維度可以達到數百萬甚至數千萬之譜（三原色x數千個橫向畫素x數千個縱向畫素）。

再例如，剎車控制系統需要接受包括制動踏板、自動緊急制動、自適應巡航在內的系統的同時輸入，並同時接受來自輪速感測器、防抱死系統、電子制動力分配系統、車身電子穩定系統的反饋，還要在液壓制動和再生制動之間做出權衡，對四個輪子精準施加制動力。

這樣的輸入和輸出使得系統高度複雜，大大增加了調查問責的複雜度。在飛機的案例中，MCAS簡單的邏輯還能使調查員還能夠在不檢視MCAS系統軟體原始碼的情況下，透過資料分析發現MCAS在錯誤輸入資料的影響下會錯誤地拒絕執行指令這一設計缺陷；但在汽車的案例中，如果不對剎車控制系統的原始碼進行分析，梳理剎車失靈的原因幾乎是不可能的事情。

但沒有汽車廠會樂意讓自己的系統原始碼被公開分析——在機械時代，汽車廠家可以大方地宣傳展示自己的先進技術，反正“拿給你看你都抄不來”；但在電子時代，對汽車駕駛體驗至關重要的控制系統軟體的原始碼，是沒有廠商敢冒著被抄襲複製的風險公開的。

當年的歐美車廠，敢邀請對手一起交流切磋；現在的歐美車廠，天天就知道和對手打智慧財產權官司。對離職的軟體工程師尚且要以“竊取機密”殺雞儆猴，怎麼可能將軟體原始碼在法庭上公之於眾呢？

這一切的原因都在於，車廠推出了一個“有權無責”的系統。

在輔助駕駛的名義下進入車輛的線傳車控，在某種程度上接管了車主對車輛的控制。而在這種控制下，電子系統透過拒絕執行駕駛員的指令，在事實上擁有了對車輛的最終控制權；但由於監管缺位和系統設計不透明，車廠卻可以在發生事故時將責任推給駕駛員，從而免於就這種控制權下軟體缺陷帶來的交通事故承擔責任。

換言之，這些車廠將不成熟的系統推向了社會大眾，意圖讓車主和其它道路使用者承擔本不應承擔的責任這種行為，是不應該接受的。

（作者系李及李資料分析公司創始人，編輯：王靜儀）