從小米事故看本質安全設計_風聞

德上公路上，一輛小米SU7標準版撞上了施工段的水泥樁。碰撞時已近深夜。現確認事故發生前，車輛處於NOA智能輔助駕駛狀態，以116km/h時速持續行駛，車輛檢測出障礙物後發出提醒並開始減速。一秒鐘後駕駛員接管車輛進入人駕狀態，持續減速並操控車輛轉向，同時NOA退出，隨後車輛與隔離帶水泥樁發生碰撞。碰撞前，系統最後可以確認的時速約為97km/h。

碰撞後車輛發生大火，在沒有系統檢查殘骸之前，推測是碰撞引起大火，並非電池自燃。現在還不能確認車門是否能打開。不過按照這個速度碰撞的話，人可能當場就昏厥甚至掛了，能不能開門無關緊要。碰撞安全也不是為這個速度設計的。

小米SU7 標準版有前向防碰撞輔助功能包括碰撞預警 (FCW) 和緊急制動 (AEB) 兩個子功能，作用對象是車輛、行人、二輪車三類目標，其中AEB功能工作速度在 8-135km/h之間。這個功能和行業同配置的AEB功能類似，目前不響應錐桶、水馬、石頭、動物等障礙物。

事故里還有很多不清楚的地方。比如前面是否有車（估計沒有），“施工減速”標誌放到多遠、多少可見，車上人是否在昏睡，等等。116km/h看來不算多少超速。

要是有車門在碰撞掉電後打不開的問題，這是設計中安全審查的嚴重失職。

工業上有本質安全的設計概念，要求在意外情況下，在de-energize的最極端情況下，系統迴歸安全的狀態（safe park）。比如説，控制系統完全失能、儀表空氣泄壓時，所有氣動閥門都要回歸安全位置。燃料閥和進料閥自動回位到關閉，放空閥和出料閥自動回位到全開，迴流閥和壓力控制閥自動回到全開，等等。

這樣的話，即使遇到地震、爆炸，所有系統統統瞬間失靈，也不會擴大事故的損害。

這需要對整個生產過程從頭到尾的每一寸都進行危害與操作性審查（HAZOP）。這其實是設計裏最冗長、乏味但又至關重要的部分，那些靈光一現的靈感時刻和數字仿真其實花不了多少時間和人力物力。

對於小米的車門來説，即使在極端事故中，電池斷電，也需要能自動解鎖車門。可以考慮像飛機黑盒子那樣的防火防撞電池驅動，在碰撞或者起火事故時，或者在任何出發氣袋的事故時，自動解鎖、彈出門把手。

這到底是否有用，需要具體的HAZOP。

對了，小米SU7確認有機械緊急車門拉手，電池完全沒電的情況下也能開門，但位置比較隱蔽，一般人注意不到，緊急的時候驚慌失措也可能摸不到。這方面，作為國家規定統一規定可能比較好，以後在駕校就可以作為統一的內容提醒學員。

但希望HAZOP成為中國工業技術的標準程序。事故是令人傷心的，要是不能從事故中學習和避免類似事故，那就令人傷心透頂了。