特斯拉说FSD是完全自动驾驶，工程师告诉你为什么别信

近一年来，随着特斯拉model 3(图片|配置|询价)的保有量越来越大，我们也能在各种渠道看到很多特斯拉的各种诡异“失误”；虽然基本事后特斯拉都火速澄清是“驾驶员操作不当”，但其自动驾驶功能的可靠性也确实让人充满疑虑。

多次因“驾驶员误操作”上热搜的特斯拉

诚然，从功能体验的角度来说，特斯拉FSD（Full Self-Driving）很强大；但从技术的角度来说，即便它被冠以“完全自动驾驶”的称呼，但它却不是真正自动驾驶，最多是 L2级别的系统，即智能辅助驾驶。

特斯拉传感器布置方案与参数

什么是真正的自动驾驶

在很多人看来，L3、L4自动驾驶与L2和ADAS辅助驾驶的区别就是功能更强大。这是极其不严谨的，自动驾驶与辅助驾驶有一条明显分界线——责权。

SAE对自动驾驶的分级与系统要求

我们看看上面SAE的要求，其中明确指出了L3系统要在自动驾驶功能运行时承担所有的驾驶和周边监控功能，L4更是要求系统能在异常情况下依然接管驾驶，而L2只需要进行操作，监控还是驾驶员的责任。这就说明，对L3及以上的系统来说，自动驾驶运行过程中的所有责任都需要汽车来承担。

特斯拉Model 3的用户手册中明确要求驾驶员时刻保持警觉

而目前市面上号称“完全自动驾驶”和L3的系统，都基本上在用户手册里明确写了一句话：“驾驶员有责任时刻保持警觉，安全驾驶，并掌控车辆”，即监控是驾驶员的责任。所以，其实判断是否是L3自动驾驶也很简单，就看车企是不是敢承诺系统运行时的所有责任都由它负责。显然，目前经常将“驾驶员操作失误”放在嘴边的特斯拉FSD并不是真正的自动驾驶。

那真正的自动驾驶又需要具备哪些条件呢？

冗余才能保证足够的安全

我们要明确一个现实，人类创造的任何系统都有失效的风险；无论是偶尔卡顿和重启的手机电脑，还是不间断运行的网络和电力设施，或者是只有一次机会的火箭发射……任何工程师都没办法拍着胸脯保证自己的设计一定没问题。所以，在设计时都要引入必要的防止故障的手段，只不过不同系统出故障以后带来的后果不同，对其防止失效的要求也会不一样。

典型的冗余系统

所以，面对影响较大的系统（涉及基础设施和生命安全），除了提高技术水平，一般还采用冗余的方式保障安全的底线。例如，对于重要的数据除了本地储存，还会云端备份、多地容灾备份；电力设施甚至会设置多重冗余机制，如对系统进行实时监控，设置双服务器等办法。

双系统同事运行的冗余架构

在传统汽车时代，驾驶员是第一责任人，所有的操作都来自于人，只需要保证转向、制动和动力系统的可靠性即可。而自动驾驶在运行时系统成了第一责任方，那么所有参与自动驾驶的零部件都要保证足够的可靠性，设置必要的冗余机制，在极端情况下也能确保乘客的安全。

自动驾驶的冗余要求

自动驾驶系统一般由感知、决策、执行三大系统组成，参与运行的零部件多达数十种，每个部分依据不同的特性也有不同的要求。

自动驾驶的系统构成

• 感知层

由于汽车运行的环境复杂、速度快、对象多，又需要实时对周边环境进行细致全面的监控，而不同的传感器的性能差异又比较明显；所以提升感知系统冗余是开发中的关键。

不同传感器的典型特性与优缺点

上图是目前自动驾驶采用的几种主要传感器的性能参数对比，摄像头来不能避免极端天气和环境的影响，比如黑夜、起雾、大雨，甚至强光；另外目前的摄像头无法直观判断景深，靠算法计算的距离有可能会出现误差；所以目前一般在前向采用摄像头+毫米波雷达的方案，特斯拉也在一次事故之后加装了毫米波雷达。

特斯拉增加毫米波雷达使识别更加准确

• 决策层

决策系统（控制器、运算平台）在解决算力问题以后其方向也较为明确，首先是设计另一个独立运行的处理器，通过备份系统实时监控实现异常情况，并作出紧急处理；另外则是在硬件设计时遵从功能安全ISO 26262的原则和Aspice流程，是系统具备足够的可靠性。

奥迪A8(图片|配置|询价)和小鹏P7(图片|配置|询价)均在自动驾驶运算平台中采用双系统互为冗余

例如奥迪A8的智驾控制器zFAS中，放置了两个处理器，一个英伟达芯片负责工作，另一个英飞凌的Aurix TC297T则负责监测系统运行状态，使整个系统达到ASIL-D等级，小鹏P7也在XPILOT系统中提出了互为冗余的双计算平台方案。这些措施显然会增加整车成本，但在安全面前一切都十分必要。

• 执行层

执行系统即制动和转向部分，目前欧盟ECE_R13-H和ECE_R79对制动系统和转向系统的冗余设计作出了明确的规定，而中国对执行系统的冗余设计要求也正在讨论和制定中。

• 其他系统

其他诸如电源、网络架构等部分一般也会要求一定的冗余设计；在电源部分采用备用电源，将与安全相关的零部件负载同时接入两个电源，在主路异常时通过智能开关进行切换。在网络架构上，则一般在可靠性要求高的链路设置冗余通信回路防止意外发生。

自动驾驶汽车的冗余电源方案

只有实现冗余才能实现自动驾驶的普及

自动驾驶的首要目标当然是实现功能，解放人类的双手；但在复杂的社会中，人作为独立的个体是明确的行为主体，而机器却不是。因此，我们可以预见，在自动驾驶普及的过程中，从伦理、法律、保险等多方面考虑，机器（自动驾驶系统）都将会被严格的约束和要求，车企也将为自己投放的自动驾驶汽车负责。因为在彼时可没有“驾驶员自己操作失误”这种借口。