最近潮州特斯拉事件持续发酵，网络上大体分为两个阵营，一方站在车企一边，认为特斯拉品控优良，企业技术过硬，不可能出现刹车失灵的情况；另一方站在驾驶员一边，认为几十年的老司机，不会犯如此低级的错误，且加速后他有明显的规避动作，说明驾驶员并没有失去行动能力。

然而我认为，即使两方各种引经据典，争论的面红耳赤，结果无非就是两败俱伤，外加蹭一波热度而已。但是作为这个事件的受害方，却神奇的被大家遗忘了，高三学生本是意气风发的年纪，也许明年可以考到理想的大学，若干年后说不定就能在某个领域中成为中流砥柱，然而这一切的可能在11月5日幻灭了。

我也有孩子，我不希望自己的孩子某一天在路边被失控的汽车伤害，所以我从如何避免类似悲剧更少发生，甚至不再发生为切入点进行讨论。

假设1：车子有问题

首先我们假设车子真的失灵了，那么我们先看看这种事情有没有可能？

（唉唉，车主们别激动，这只是个假设，把手里的砖头都放下，我也只是想科学的讨论一下，所以逻辑上需要闭环，没有盖棺定论的意思。）

问题1：故障率有没有？

只要是系统就会出现故障，毕竟系统有复杂的运行环境，有多种多样的功能，还有人为干预的接口。但好在我们国家有一套完备的质量管理标准，像汽车这类商品，复杂度高，人命关天，安全系数至少5个9起步，也就是99.99999%，达到这个标准我们就可以认为这个系统是近似绝对安全的，注意是近似。

当然我也听到有人说：特斯拉特别先进，顶多就是些小BUG，但肯定不会出这种致命问题！这话就有点感性了，就交通工具这块，我认为最顶尖的要数航天了，且不说粗放赌命的毛子以及技术顶尖的美帝在航天领域折腾出多少惨案，就说成功率奇高的中国航天，也不能保证100%的发射成功，当然咱们在最近20年的载人航天上成功率是很高的，这得益于我们几十万人的研究、设计、生产、测试的航天团队的呕心沥血，以及半个多世纪的底蕴（这块我们的航天人可以站起来接受一下掌声）。

举全国之力的航天都没法做到100%安全，某个企业就更不可能了。

问题2：故障率有多大？

说回99.99999%的问题，这个数据怎么来的呢？

首先，不能你说是99.99999%就是99.99999%，这太扯淡了，别说国家不同意，车企自己也不答应，这太掉价了，消费者都没法忽悠了。

然后，其实这就是个理论值，这个做过系统的人可能深有感触。产品过几个月就要上线了，安全性这块还没有通过检测，所以项目组按照功能要求搭建测试环境，这里我们按照国家标准来，至少要包括单元测试、功能测试、集成测试、系统测试、性能测试、压力测试等等等等，然后邀请第三方测试机构（官方认证的，权威机构）进行系统测试，最后根据测试结论得出一个安全系数（比如6个9），到此就皆大欢喜，签字盖章出报告宣发一条龙。

当然，这里有两个要点：

要点一：测试终究是测试，所谓的压力测试，集成测试等等，都是在试验环境下进行的，所谓“在没有出现这个没有预料到的问题之前这个问题是不存在的”，在系统鲁棒性测试中，条件和场景并不是穷举的，所以通过了测试并不能代表系统就一定安全，否则就不会爆出某某车企有重大缺陷，需要召回的事了，在这一点上油车和电车是一视同仁的，而且国内的车企可能还略逊一筹（虽然我们一直在追赶，但瑕疵还是有的嘛）；

要点二：车子往往有几千个零件，其中大部分还来自于不同的厂商，总不能我造车子，还得把所有的零件都测试一遍啊，所以这里大家都会偷个懒，那就是采信零件已有的测试结论，这就能解释网上一些朋友的逻辑合理性，他们用iBooster的安全性来解读特斯拉的擦车系统安全性（哦，你们可以坐下了，你们能拿iBooster说明你们已经很专业了，至少比那些闭着眼睛选答案的人进步了不少）。

而这里就有一个基本的问题，那就是系统的安全系数理论值和各单元安全系数的关系，简单说那就是串联系统叠加、并联系统取最大，类比一下，虽然iBooster在其他品牌中表现稳定，但是在特斯拉的体系中，它还串联了一个智能控制逻辑，所以它的刹车系统的安全系数要低于只用iBooster的体系，至于是多少，我不知道。

而这块特斯拉的技术人员因为违背了“越是重要且使用频繁的功能，其实现逻辑就应该越简单，以减少故障率”的原则，而承担了不小的技术风险，当然，至少在实验室环境，这个风险被完美的规避了。

问题3：怎么认定车子的问题？

看到前面，家属们激动了，觉得自己可以沉冤得雪，打倒了无良资本家。

其实他们激动早了，因为这只能说明特斯拉的刹车可能会出故障，但概率也许是0.00001%，也许是0.0001%，反正不是100%。

怎么认定车子的问题？最直接的是能够从出事的车子上找到线索，于是，专业的人来了，“第三方鉴定机构已经开始检测”的消息随后就放出来了。另外，这里还得夸一下特斯拉，人家有完备的车载数据收集系统，能够第一时间的获取所有车子的数据，包括操控数据，雷达数据，音视频等等等等，这就为后面的鉴定给出了强有力的支持。

当然，国家也不差，强制安装的EDR也能够提供权威的数据，能够帮助鉴定人员了解当时的真实情况（哦，还是你们啊，别站起来了，都说了，你们很专业，感谢你们给大家科普了EDR的相关知识）。

因为就算刹车有问题，那也是偶发性问题，大概率不会在原车上实现了，因此如果没有这些数据，只凭第三方鉴定机构是没法得出有效结论的。

但是这里又有三个要点：

要点三：数据能否被篡改？提出这个问题的人老实说有点业余了，因为不管是EDR还是特斯拉的数据他都是有加密的，我相信特斯拉不会恶意篡改数据，因为一旦它和EDR的数据相冲突，那不仅是自己信誉崩塌的问题了，相应的法律问题就能让它的法务部骂娘跑路了。因此我觉得咱们还是要相信这些数据并没有被篡改好。

要点四：数据是否收集完全？这里就需要我们回顾一下历来事件的经过，北美以及大陆的不少用户都反映在ABS接入后刹车变硬了，踩不动，既然刹车都踩不下去，那在这种情况下踩刹车的动作是否能够记录就是个问题。

因为我们不知道特斯拉数据采集的逻辑，是单开一个线程读取各模块的数据呢，还是直接由各模块自行调用总线接口吐数据呢？前者比较符合多模块系统集成的思路，那就是通过外部系统将各个模块进行集成，形成新的体系；后者则更可靠，只要通信链路有效，各模块内部没有崩溃，就能拿到数据，但这样就需要各系统进行改造，这成本太高了。

要点五：EDR是否权威？这里不得不提一下《GB 39732-2020汽车事件数据记录系统EDR》，虽然标准中约束了EDR的功能、几十种采集数据元素、测试方法等内容，但EDR本身采集的是碰撞时间窗口的数据，标准中对时间窗口的触发也只是界定为速度突变或者气囊等不可复位的装置展开场景（见标准4.1小节），那么在这次的事件中，碰撞前1分多钟的数据能采集到多少就不得而知了；另外，也是一个重要的问题，标准中只要求汽车能够把数据发送到EDR，并给EDR供电（见标准5.3.1.1小节），但并没有约束汽车与EDR的集成方式，也就是说这个数据是直接连接传感器，还是通过车机系统分发给EDR，只有厂商知道，那么，如果碰撞时用户踩了刹车，而总线并没有收到这个数据，那EDR中也就不会有这个数据了。

因此，就算是第三方鉴定机构介入了，他们也只能够给出参考性的结论，虽然这个结论大概率对家属不利，但法院和家属都可以质疑。（第三方鉴定机构：没想到吧，你们终究是错付了）

当然，拼到这个时候，家属也不是不能翻盘，他们可以请出一群让人又爱又恨的人出场——专家。

那么，是不是专家出场就能解决问题了呢？答案可能还是不行，这里有两个要点：

要点六：专家如何得出结论？他们太难了，就那么点评审费用，还要张罗着再搭个测试环境出来，因为从学术上来讲，如果你主张车子的刹车有问题，那你至少要在你自己的试验环境实现问题复现！而且你的这些试验环境以及试验条件还得和事故中的情况没有矛盾，这需要专业的团队，以及财力的投入，并且因为是试验，它的效力比第三方鉴定机构的结论低得多。

当然，专家也可以通过系统评估来给出结论，手段就多了，比如review特斯拉的源代码（特斯拉：源代码？不给不给就不给！），或者直接对特斯拉的设计原理和体系进行评估，这就仁者见仁了，没有硬伤谁也难以得出结论。

要点七：专家要不要给出结论？专家也是人，有人的地方就有江湖，所以学术界也是个江湖，而我能想到的专家，无非是汽车、计算机、控制领域和行业的专家、教授、资深从业者等等，他们或者与其他车企有关系，或者热衷于搞研究，或者只想多参加一些评审会，拿拿评审费而已，即便他们一致得出刹车有问题的结论，那也会被特斯拉的法务团队关爱，被资本排挤，被有关人士唾弃，所以，图啥呢？撞的又不是我，开车的我也不熟，多一事不如少一事，爱咋咋地吧。

综上，在车子的问题认定方面，注定只是一团浆糊，家属可以不服，但是结果注定不会太好。

因此，我们也难以从车企这边寻求避免同类问题的发生的方法（特斯拉：对，我无敌，你随意）

所以我们回到初衷，我们只需要尽可能规避同类问题的发生就可以了，那就看看其他的方面。

假设2：人有问题

首先，我们抛开本次事件中多年驾龄的老司机不谈（其实历次事件驾驶员都会站出来描述自己漫长的驾驶经验），先来讨论一下为什么电车总会出类似的幺蛾子。

问题4：电车对驾驶员有什么不同？

这里引用网络上的科普内容，电车和油车最大的不同就是这两种汽车的动力总成不同，电车一般没有变速箱，油车都是有变速箱的，一般汽油发动机和柴油发动机都需要达到一定的转速才能输出最大扭矩，而电动机则不需要，纯电动车停放到位，踩下油门踏板到底，电机即可输出最大扭矩。

要点八：几乎是瞬间达到最大扭矩，所以才会有6秒、5秒甚至4秒以内的百公里加速成绩，这是很多电车企业引以为傲的宣传点，然而这种瞬间加速对于驾驶员来说并不友好，神经中枢还不能适应速度就起来了，容易产生“加速眩晕”的情况，这个平时做过电动公交车和电动网约车的朋友可能深有体会，车子启动后自己有点晕车了。而这种状态对于驾驶员来说是致命的，虽然只持续短暂的1-2秒时间，但当驾驶员恢复状态之后会发现车子的时速已经达到了几十公里甚至更高，这对心理素质欠佳的驾驶员来说更加容易导致后续的操作失误，所以在驾驶电动车时，驾驶员应该避免在启动时深踩油门。

问题5：单踏板模式对驾驶员有什么不同？

最后我们讨论一下单踏板，这种模式对于驾驶习惯来说是一个颠覆，它借鉴了上世纪80年代公园里的儿童碰碰车，就是只用一个踏板完成加速和制动操作的输入，这样对于驾驶员来说，的确操作更简单了，但这里忽略了几个要点。

要点九：长时间使用单踏板模式，会破坏驾驶员的肌肉记忆，按照安全设计的原则，功能冲突的模块应该尽可能的隔离实现，这是血的教训，而单踏板的设计给了驾驶员心理暗示，那就是一个踏板就能够解决加速和制动的所有需求，而这个和其他车辆油门和刹车隔离的设计背道而驰。

这就能够解释为什么老司机反而容易出现操作失误：近期的操作反馈是，自己只需要一个踏板就能够完成操作，而往年的肌肉记忆让他在突发情况下将刹车踩死，于是悲剧发生了，尽管刹车踏板还静静的躺在偏左10公分的位置，但两种冲突的驾车习惯还是诱导他将油门踩死了。

要点十：也许有人会说，单踏板很方便啊，出了问题那就是驾驶员的水平不够，怪不了车子。其实这个说法对也不对，毕竟碰碰车怎么不会出事呢？归根结底还是速度太快了，对于20-40公里时速的碰碰车来说，单踏板模式节约成本，降低了操作难度，增加了游玩乐趣，但是对于一脚油门100KM/S的电动车来说，这个模式更考验驾驶员的水平。

讨论到这里，我们发现电车，或者说单踏板模式对于驾驶员来说，更容易产生失误和事故，而这里老司机似乎也不能幸免。

我们应该怎么改进？

你要问我，这事谁的锅？我只能回答：雪崩时,没有一片雪花是无辜的，至于责任认定怎么判，那是法官的事，我们还是回的最初目的——避免类似的事情再次发生。结合上面的讨论，很多事情是我们可以做的：

1. 完善对汽车产品的测试体系。这里我们需要吸取教训，汽车的测试不能浮于表面，走过场的结果只能是谋财害命，这不只是对无辜民众的不负责任，也是对车企的戕害，毕竟在正式上市前产品的缺陷尚可加班加点的回归，无非是延迟上市对投资人带来一些损失罢了，但缺陷的汽车上市后一旦发生严重事故，那对品牌的损失就是致命的。

2. 规范EDR的集成规范。这里需要明确EDR的采集应该是最原始的数据，这就要求EDR更多的与底层传感器集成而不是和汽车系统集成，以免关键数据被忽略掉。

3. 增加新的驾照种类。其实早在去年，特斯拉就有过类似的暗示，那就是单踏板模式的汽车与其他汽车在操作逻辑上有很大不同，需要驾驶员通过一系列的培训才能上路，可惜我们当时只将这种说辞归类于对事故责任的辩解。仔细想来，三大件、操作逻辑、加速性能等关键要素的巨大差异，使得我们有理由将电动车驾照和油车区分开（比如增加E1、E2等驾照种类）在考核和培训方面区别对待，这样就可以有效的降低事故率，避免类似经验丰富的C照司机驾驶电车出现操作失误的情况。

不管调查结果如何，当事人需要受到怎样的惩罚，我们的初衷应该是不变的：交通安全至上，人民安全至上！