智能手机已经主宰了我们的生活和整个世界。但是,应该让它们也接管那些安全攸关的系统吗?
你可能不至于像某个对推特(Twitter)上瘾的总统那样成天“黏”在手机上,但还是必须面对一个现实:你出门绝对不会忘记带手机。
对应用程序(app)开发人员和硬件系统工程师而言,无处不在的智能手机很自然地成为运行其App和控制其系统的最佳平台。
目前智能手机已经可以远程锁门、锁车、开灯关灯以及控制窗帘开关,甚至还可以用来应门和监测心率。
那么,为什么不干脆再多要求些?
然而,这里要讨论的问题是消费级手机设计是否足够安全,是否可用来控制任务关键型系统。或者更直接地说,我们是否考虑清楚了承担使用消费类智能手机可能带来的所有潜在威胁和后果,例如远程召唤一辆车?
这里有一个典型的例子。特斯拉的一位用户不久前在Twitter发了一条推文,声称有一次当他用iPhone召唤他的特斯拉时,手机显示屏上忽然弹出了电池电量不足的警告(图1)。他移开了手指想停止“召唤”指令,iPhone却忽略了他手指移开的动作,导致他的特斯拉继续开过来。他写道:这是我遇到的“模式对话”问题,太可怕了。当低电量警告出现时,应该随即停止召唤的动作。
图1:特斯拉用户推文截图。
电池电量低并不是什么罕见的现象。那么,当手机快要没电、操作者无法传达“停止”(STOP)信号时,如何让车辆停下来?是否有安全计划?
这并不是说要禁止使用智能手机。但是,对于安全性至关重要的系统,设计人员应该为命令和控制这些系统的消费级设备提供一个备份计划。
顺便提一句,在UL 4600标准草案有关“与人和动物互动”的章节中明确指出了由于设备电池电量不足可能造成的潜在危害和风险(第97页):
1) 通信设备在执行任务期间发生故障造成的影响
示例:作为任务界面的用户手机电池电量耗尽
UL 4600是自动驾驶产品的第一个综合安全标准,目前正由UL 4600利益相关方委员会(stakeholder committee)进行初步审查。
无论如何,如果这种用户体验是真的,那么使用智能手机控制车辆,就是一个典型的#DidYouThinkofThat 的问题。
笔者最近采访了美国知名杂志《消费者报告》(Consumer Reports),想了解他们是否听说或测试过智能手机在电量即将耗尽时对智能召唤功能(Smart Summon)的影响。
《消费者报告》自动测试总监Jake Fisher告诉我们,他们尚未针对智能手机出现电量不足警告时的智能召唤功能进行测试。但他确实在有来电、短信或facetime请求接管显示屏时测试过这一功能。在这些情况下,特斯拉确实停了。
Fisher无法重建该场景,即Tesla车主使用智能召唤功能时,手机恰好出现电池电量不足的警告(图2)。他说:“很难重现这种提示(电池电量不足警告)。”
图2:手机电池电量不足警告。
2016年,当特斯拉首次推出“召唤”(Summon)功能Beta版时(不是“智能召唤”),《消费者报告》也做过测试。
当时,《消费者报告》指出,“召唤功能会带来不必要的风险”。特斯拉V7.1软件更新版提供的“召唤”功能,最初是为了与遥控钥匙或特斯拉智能手机App配合使用。当时的《消费者报告》这么写道:
“……我们担心,在紧急情况下使用者可能不能马上把车停下来,例如他们可能一紧张就按错遥控钥匙的按钮,因为那些按钮并没有明确的标记,也有可能不小心弄掉了钥匙。我们在iPhone 6S上测试特斯拉App的运行时也出现了问题。我们在汽车行驶中关闭了App(这种意外很可能发生),但汽车仍然继续行驶。”
《消费者报告》当时给特斯拉的建议是,“特斯拉的控制装置应设计为‘失能开关’(dead-man‘s switch)的方式工作,也就需要用户持续地触控来进行操作。”BMW已经实现了类似设计,其欧洲版7系列(7-Series)车款配备的遥控停车功能即需要用户持续长握遥控钥匙,才能保持车辆移动。
Fisher告诉我们,为了解释这个问题,他的团队曾经与特斯拉CEO马斯克(Elon Musk)以及特斯拉的工程团队进行了40多分钟的交谈。最终,特斯拉听取了他们的意见,开发了“一款升级软件,将‘召唤’操作限制在仅可在手机App上使用,并要求用户的手指必须持续长按住手机显示屏——基本上就是以失能开关的方式对其进行操作。”
现在的智能召唤功能要求用户持续长按手机,即是基于失能开关的经验而设计的。
然而,到目前为止,关于以低电量手机执行智能召唤功能可能带来什么意外后果,《消费者报告》尚未与特斯拉进行更多讨论。
在互联“智能家居”场景中,物联网(IoT)市场充斥着消费者的各种担忧——他们遇到了各种安全漏洞和连接噩梦,以及使用智能手机操控万物(从门廊灯到百叶窗)所带来的种种不便(是Android还是iPhone?哪一种型号?哪一个OS版本?)。
准确地说,特斯拉的智能召唤也属于IoT技术。正如VSI Labs创始人兼负责人Phil Magney所指出的,“智能召唤需要永不断线的互联网连接才能正常工作,因此,它依赖于蜂窝网络。”
问题是,针对生命安全和数据保护,特斯拉对于智能召唤功能究竟进行了多少压力测试?
概括地说,智能召唤所需的技术构建模块包括:视距(这是出于安全目的,其极限是距离操作员约为200ft)、蜂窝数据连接以及手机中的GPS系统(用于确定操作员的位置) 。但是正如Magney所言,智能召唤完全通过云端完成,“手机与车辆之间并未直接通信。”
Magney补充说:“高层次的路径规划是在云端制定的(最终呈现在手机上),但是战术机动(如感应车辆周围、避开物体等)则由车辆动态地完成。”
Magney认为Twitter上有关汽车在手机电池电量不足时仍继续行驶的评论“扣人心弦”。但是他补充说,“一旦断开连接,根据我的经验,车辆就会停下来。”
但是,这又引发了另一个问题,如果汽车离原定目的地还很远时,手机突然断线了,又将会发生什么?
The Linley Group资深分析师Mike Demler表示:“我认为低电池电量问题只是马斯克最近的诡计之一。美国国家公路交通安全管理局(NHTSA)应该取缔它,这太危险了!”
Demler还提到特斯拉的另一个问题,即其侧面超声波传感器无法检测车库门的开启状态。他说:“这很容易导致汽车撞上儿童、轮椅、婴儿车或其它任何附近的物体。”
实际上,特斯拉车主们报告过很多起特斯拉的缺陷,如无法直线行驶,有驶离路面的趋势,甚至在单行道上逆向行驶。
简而言之, Demler指出:“特斯拉不能再把汽车当成玩具了。一台2吨重的无人机如果失控就会成为杀人机器。”
(原文刊登于ASPENCORE旗下EETimes网站,参考链接:Smartphones Rule. But Should They Control Cars?)
本文为《电子技术设计》2019年12月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
最前沿的电子设计资讯
