和今天都聊了语音关大灯的事。我对这个事本身并不关注，但涉及的功能安全话题，勾起了我当年的回忆，就来和大家分享一下。

很多话题，表象上毫不相关，其本质却是同一回事。例如：

- 语音关大灯是否合理？- 座舱芯片车规级？- 定速巡航退出失败不可能？- 不系安全带不让开挺安全，为什么大部分车都不是？- 线控转向安全吗？ “L3级转向制动”是什么意思？- 标准就是真理吗？特斯拉在创新与安全的拉锯战。

来看看“非预期关大灯”的安全等级。

功能安全的核心概念是ASIL汽车安全完整性等级(Automotive Safety Integration Level)。以ASIL的危害事件(Hazard Event)为中心进行分析：

- 危害事件向下游分析：通过HARA分析对危害事件进行安全打分，分成QM、A、B、C、D五个等级。

打分维度是三个维度：√ S（Severity）：后果严重程度，可能高速碰撞，属于严重情况。√ E（Exposure）：场景发生概率。“晚上开高速”，属于高频场景；结合“没有前后灯来照明”，概率为降低。恰好没路灯，会降低多少概率，则与各国的基础设施建设有关 —— 也就是说，同一个车，不同国家的要求，可能不一样。√ C（Controllability）：驾驶员是否能控制。有些主观性，就黑灯瞎火来说想在高速上停下来，有人觉得自己反应快、心理素质好，可以手动打开大灯也行；但有人觉得难。

何先生给了行业共识的结论：非预期关大灯是ASIL A；非预期关近光灯是 ASIL B。可以看到，打分有一定的主观性和浮动性，所以行业共识也有争议，比如“高速失去动力”一般定为QM（至少在10年前是这样），因为一旦定成ASIL A，全行业都没法做了。

- 危害事件向上游分析：将抽象的功能描述，分解为实打实的系统，再一层一层分解下去，到零部件、软件、代码、芯片、传感器 ……

如果下游打了一个ASIL B，那么上游这些“源头”的可靠性或安全措施要求都要提高，相应的开发难度和物料成本都要上升。

正因为如此，整车开发中都希望离ASIL远点，不仅成本上升领导苦恼，咱们基层打工人各部门的工作量都要上升啊！ —— 俺们好好开发着车、为了公司赚利润呢，你们功能安全部门怎么像个审计一样总是指手画脚的？

就比如说安全带那个事，本来是“安全无关”的，ASIL鞭长莫及，想管也管不了。但如果你定义了“不系安全带挂了D档也开不走”，那功能安全就来找碴了：

设想你正好行驶在山路上，正好想停在路边休息一会，正好发现有零星落石马上就要滑坡，你上车挂好D档系安全带，此时安全带已系上的传感器恰好坏了而导致车子开不走，被山体滑坡给砸了，那岂不是很危险？？

所以，以后“安全带已系上的传感器”就得换更好的供应商了！不换也行，你得提供符合ISO 26262标准的一大叠文档，基层研发人员的牛马度又上升了。因为工作方式如此，所以功能安全在车企内部挺不招人喜欢的。

回到非预期语音关大灯这个事，分析方式也是一样的。都不用分析，从结果来看肯定是安全相关，那“语音识别错误”的智能座舱功能，本来与ASIL无关的。现在你既然能关大灯了，那么不好意思，也必须符合功能安全了。这时候如果要审查一下功能安全开发文档，那可能就发现瑕疵。而且功能安全只有“通过”、“不通过”两种状态，不存在“90%通过”这个概念，所以任何瑕疵都不能有。所以这事看着不小，实际上也不是很小。

那怎么办？ 就比如说如果大屏使用非车规级的芯片，安全相关吗？ 标准其实没要求一定要车规级，但就如前方所说，有一些行业圈子共识，不是车规级就免谈了。但也有其他方法，那就是如果加一个“安全措施”符合ASIL B也行。

也就是说，一般是常规功能符合ASIL B，安全措施QM或没有；如果不嫌麻烦，搞成常规功能QM + 安全措施ASIL B，也是完全符合功能安全的。这种做法，其实还是在功能安全的框架之下在工作，还是非常老实的。

那有不老实的吗？

ASIL是汽车行业公认的，但并不是宇宙真理。还有更牛的创新，那就是特斯拉。前很多年有传言说特斯拉不符合功能安全标准，但后来车卖得多也没问题，就没人说了。因为ISO26262的目标是为了最终的安全，人家最终卖了百万辆也没事，还说个啥呢？

关键是，人家用自己的土方法都能发火箭，那当然也可以在造车时有管理创新。他能，你能吗？ 他能接受巨大事故，你能吗？这个土方法也不土，叫第一性原理，但不好学。

语音关大灯谁给的勇气