一段行车记录仪视频在网络上引发广泛关注。2月25日凌晨1点左右,一名领克Z20车主在漆黑无路灯的高速路段行驶,车内阅读灯的亮光让他略感不适,他随口向车机发出指令:“关闭所有阅读灯。”数秒之后,意想不到的事情发生了。车辆不仅没有关闭阅读灯,反而将包括前大灯、示宽灯在内的全车灯光一并熄灭。
瞬间,前方道路陷入一片黑暗,驾驶员顿时陷入慌乱。情急之下,车主多次呼唤车机重新开启灯光。但由于语速过快,系统始终未能识别指令,仅回复一句:“暂时还不会哟。”车辆在黑暗中失控撞上高速公路隔离带,所幸这起事故未造成人员伤亡,但车辆损失及道路设施损坏的具体金额尚未披露。
事故曝光后,领克迅速作出回应。2月26日晚间,领克汽车销售有限公司副总经理穆军通过个人微博公开回应此事。他确认,事故系领克Z20车辆行驶中出现的语音误操作所致,并宣布:“今天我们第一时间完成了语音控制优化方案,现已通过云端推送更新,后续在行驶状态下只能通过手动控制大灯关闭,请大家放心。”
从事件曝光到官方回应,再到云端OTA推送修复补丁,领克方面的反应速度值得肯定。据了解,此次语音控制优化覆盖所有领克Z20车型,车主无需到店,只需保持车机联网即可自动接收更新。
然而,这一24小时“闪电修复”的背后,暴露出更深层次的矛盾:OTA技术的快速响应能力,究竟是在弥补安全漏洞,还是在助长“先交付后修补”的行业风气?
领克Z20搭载的LYNK Flyme Auto车机系统,由领克与魅族联合开发。2025年1月,官方通过OTA升级为其接入星睿AI与DeepSeek大模型,宣称智能语音助手支持免唤醒、连续对话,识别准确率接近100%。然而,事故与官方宣称的“接近100%识别准确率”形成对比,暴露出了安全设计的漏洞。
事故直接原因是语音指令“关闭所有阅读灯”被系统误识别为“关闭大灯”,导致车辆瞬间失明。技术漏洞细节在于,触发指令为“关闭所有灯光”可以包含大灯,但“关闭大灯”单独指令反而无效,这暴露了语义逻辑缺陷。更令人担忧的是,关灯后方向盘拨杆仅保留闪灯功能,无法常规开启大灯,物理操作受到限制。
领克的修复措施展现了技术效率的优势:云端OTA推送在24小时内覆盖用户,彻底禁用了行驶中语音关灯的权限。这种远程权限修改机制,通过简单的云端指令调整,就能实现对全球范围内所有同款车型的安全补丁分发。
从积极角度看,这种响应速度重新定义了智能汽车危机处理的标准。与传统召回相比,OTA升级的成本与时间优势显著。据相关数据显示,传统汽车召回涉及物流、人员、场地等多重成本,平均周期往往长达数周甚至数月,而OTA升级只需几分钟到几十分钟即可完成。
然而,争议也随之而来。OTA技术的高效性,是否在客观上助长了“先交付后修补”的风气?在汽车软件升级广泛实施的情况下,企业很容易变更车辆的安全、环保、节能及防盗等关键参数,对车辆生产一致性造成影响。有观点认为,部分车企可能将基础安全功能置于后期迭代中,以追求更快的产品上市速度。
为了探究其他车型是否会出现类似情况,多位车主和博主开始实测自家车辆的语音控制功能。测试结果呈现出明显的品牌差异。一位同时拥有极氪和小米YU7的博主分别进行了测试。他发现,极氪与出现问题的领克Z20一样,可以通过“关闭所有灯光”的语音命令,在行驶状态下关闭大灯。矛盾的是,期间语音打开大灯的命令反而执行不畅。而在小米YU7上,同样的命令只能关闭车内的阅读灯,无法关闭前大灯。这一设计逻辑显然将行车安全置于更高优先级。
横向对比主流车企的安全漏洞响应模式,可以发现显著差异。特斯拉通过OTA多次解决Autopilot安全隐患,但响应周期差异较大。常规OTA升级大约需要25分钟左右,而深度更新可能延长至数分钟乃至更久。网络环境对更新速度影响显著,使用Wi-Fi更新会比移动网络更快。
小鹏汽车则曾因软件漏洞发起限时OTA升级,但同样缺乏透明的时间承诺。在实际应用中,不同车型的更新频率各不相同。例如,操作系统和安全补丁可能需要更频繁的更新,而应用程序则可以根据功能需求进行更新。
当前行业应急响应存在三大痛点:响应时效无强制要求、修复效果评估标准缺失、跨品牌协作机制未建立。这导致各家车企在面对安全漏洞时“各显神通”,缺乏统一的操作规范和责任界定。
值得探讨的是,是否需要设立“安全OTA”行业公约?可以参考航空、医疗领域的强制安全更新机制。在这些高风险行业中,安全更新通常有明确的时间表和强制执行要求,任何延误都可能面临严厉处罚。然而,在汽车行业推行类似标准,面临着技术标准与法律责任双轨并行的挑战。
OTA技术带来的不仅是便利,更引发了责任界定的困境。缺陷修复是否等同于责任免除?这一法律问题在实践中存在争议。当车主因软件缺陷导致事故损失提出索赔时,车企常以“已通过OTA修复”作为抗辩理由,这引发了责任转移的争议。
从法律视角看,产品缺陷的认定依据《产品质量法》第四十六条规定:“本法所称缺陷,是指产品存在危及人身、他人财产安全的不合理的危险;产品有保障人体健康和人身、财产安全的国家标准、行业标准的,是指不符合该标准。”在自动驾驶系统领域,由于尚未出台强制性国家标准,只能从“不合理危险”标准入手进行判断。
在实际案例中,2025年8月,美国佛罗里达州一陪审团裁定,特斯拉自动驾驶软件存在缺陷,对2019年一起致命车祸负部分责任。若上诉维持原判,特斯拉需赔偿2.43亿美元。这一判决首次明确了智驾系统缺陷的法律责任,与中国监管部门加强智驾行业安全管理的思路不谋而合。
数据与控制权之争是另一个关键问题。OTA过程中的用户边界日益模糊,隐性风险逐渐显现。车企远程控制权限的扩张,如限速、功能锁闭等操作,引发了用户对自主控制权丧失的担忧。更令人不安的是,用户知情权在升级过程中往往被忽视——升级内容透明度不足,选择性更新的权利缺失,用户只能被动接受车企推送的更新。
有案例显示,部分车企通过OTA后台限制电池充电功率或缩减续航里程,涉嫌“锁电”套路。例如,某品牌在升级后将电池充电功率从150kW降至80kW,且拒绝提供后台数据佐证。这类行为严重侵犯了消费者的公平交易权和知情权。
构建用户主导的OTA新规则势在必行。建立第三方监督机制,推行“用户授权升级”模式,可能是解决当前困境的有效路径。国家监管部门对OTA模式的监管日益严格,要求车企在实施之前告知用户并进行备案。如果消费者支付了相同的购车款,却未能享受到应有的服务质量,车企理应主动告知实际情况,并提供合适的补偿或赔偿。
技术演进正在改变OTA的本质。AI预测性OTA或将前置风险拦截,通过机器学习算法预测可能出现的系统漏洞,在问题发生前就进行预防性修复。这种主动防御模式,有望从根本上改变当前被动修补的局面。
行业洗牌已经悄然开始。应急能力正成为智能汽车的核心竞争力之一。随着GB 44496—2024《汽车软件升级通用技术要求》等国家标准的逐步实施,汽车软件升级将面临更严格的规范要求。该标准自2026年1月1日起对新申请型式批准的车型正式施行,对已获得型式批准的车型则自2028年1月1日起开始执行,这意味着行业将有过渡期来适应新的监管要求。
ISO/SAE 21434道路车辆网络安全工程标准的推广,也为汽车网络安全提供了国际框架。该标准覆盖整车及零部件全生命周期,包括概念设计、系统开发、生产、运行与报废,为整车厂及供应链提供统一的网络安全管理框架。虽然ISO 21434本身不是强制标准,但已得到汽车行业的广泛认可和接受,成为进入欧盟、日韩等高端市场的必要条件之一。
信任重建是当前最紧迫的课题。OTA效率必须与安全伦理同步提升,否则技术优势反而会成为信任危机。车企需要认识到,汽车不是手机,软件升级须遵循严格的工程规范。涉及多个关键安全控制系统时,必须基于严谨的工程规范和验证流程,经过场景评估、功能验证、整车测试,确保不会对行车安全造成潜在影响。
修补软件容易,修补信任却异常艰难。领克Z20事件折射出技术狂飙下的责任滞后,暴露了智能汽车发展中的深层矛盾。消费者面临着一个灵魂拷问:是否愿意用安全感来交换效率红利?
未来启示清晰可见:车企需要在代码之外书写责任代码。在软件定义汽车的时代,技术迭代的速度不应超越安全底线的高度。只有当每一次OTA升级都建立在充分测试、透明告知和用户授权的基础上,智能汽车才能真正实现从“可升级”到“可信赖”的蜕变。
全部评论 (0)