#央视点赞小鹏GX首发航空级安全冗余# “航空级冗余”到底意味着什么？这是GX这台车上，我认为最最最最最最厉害的事情，我们这里就先说两件事。

第一件，全市场，讲过“安全冗余“的产品都是谁呢？尊界S800，蔚来ET9，仰望U8，极氪009光辉，你看看他们的价格，再看看GX的价格，就什么都懂了。
第二件，真的提到“航空器冗余塞到汽车里”的时候，唯一有底气说自己搞清楚了这个技术体系的品牌，还真的只有小鹏---因为只有它真的把飞行器推量产了。

接着我们聊聊技术。
飞行器为啥强调冗余？因为在天上，关键系统一旦失效，根本没有“先靠边停一下再说”这种缓冲。大型飞机系统安全是这样的，灾难级失效条件被定义为平均概率每飞行小时约 10^-9 或更低，也就是“极不可能“------给你翻译一下，0.000000001的失效概率，以及设计上需要遵循 fail-safe 概念---失效以后，还能够保障安全，它也不只看单个故障，还看各种故障组合。举个例子，比如汇天的飞行器有多个旋翼+电机，他们都是相互解耦的，到了天上坏了一个电机，剩下的电机还能转，它就依然能安全落地。哪怕这些一口气都挂了，依然有降落伞能让你平安下来，这就是极致的冗余。而为了验证这个过程，飞机开发的过程中，需要全程进行特别特别多认证，这就是“适航”的过程。

为什么今天汽车也需要冗余了呢？
机械时代，方向盘和转向机、踏板和制动系统，都存在直接的机械链路，电子系统出问题的时候，驾驶员有机会完成“硬接管”。但随着越来越多的自由度得到解放，在高度的智驾构型里头，线控转向、线控制动、中央集成式电子电气架构，会有越来越多的动作，需要靠传感器、域控、执行机构、低压供电、通信总线一起完成。

电子电气的响应速度比你快，操作比你好，电光火石之间，能做到的比你更多---这是历史趋势，它意义上确实也是一种安全。但足够多的复杂度，相当于你用积木堆起了一座大厦，任何一块你想不到的小积木，都会引起整座楼房的倒塌，那么怎么办呢？

你，需要，把这座楼房里的所有积木都识别出来，它们是谁，形状是什么，被放在哪里了，它旁边是谁，这个叠法有多大概率会倒塌，倒的时候往那边倒，如果到了的话，我旁边要给它什么支撑---是的，你得遍历全部的失效模式。

你知道了所有的倒塌可能性，然后在每一个可能性背后都给它一个“避免倒塌的方案”，以及“倒塌以后的救援方案”，这，就是冗余。回到车来说，关键的功能，它不会不只靠一条链路，系统出了故障也不只是报警，它首先更要能实现功能降级，隔离、接管，然后把车带到安全状态。

这个差别是非常大的。
航空里经常讲 fail-safe，往前再走一步其实是 fail-operational，也就是出了问题系统还能保持一段时间的受控运行。对高阶智驾车来说，这比“故障后立刻退出”更重要，比如“智驾退出后给你1秒时间接管”这种事，就是所有人都无法接受的问题。

但我并不是说GX要去完成航空标准的适航认证---汽车行业自己有自己的功能安全体系，也就是ISO 26262 体系下的功能安全， 目前GX完成的ASIL D，就是这个体系下的最高水准。

它的随机硬件失效指标，等同于每十亿小时不超过 10 次失效，换算下来大约是 10^-8/小时，同时还会要求有非常高的单点故障和潜伏故障覆盖率，在这个背景下，我们去理解 GX 的技术内容，就知道有多少含金量了。

线控转向做了四重安全备份---最差的情况，仅靠后轮转向也可以帮助你靠边停车。
制动做了四重冗余。
驱动是双重冗余---这个没想到吧？GX里头是双电驱，A电驱挂了，B电驱可以在 1 毫秒内完成接管。
通信双冗余。
线控底盘低压供电双冗余。
车门解锁四重冗余---发布会其实已经提到了，双电源都布置在底盘中部下方，前面、后面撞不到，侧面随便来一边，也还有另外一边，以及还有其他冗余。

这里面，比如说四重冗余，就意味着四重保障--A坏了有B，B坏了有C，C坏了还有D，如果ABCD一起坏了，对不起，天塌下来的概率都比这高---这比中500万，要难上5-6倍。

所以在我们讨论高速并线时一条通信链路掉了怎么办，山路弯中一个执行器异常怎么办，冰雪路面转向和制动系统某个环节降级了怎么办，碰撞后 12V 低压不稳时车门还能不能正常解锁，驾驶员突然失能时系统能不能自己开双闪、减速、靠边、求援的时候，它都不再是是实验室的抽象概念了，实打实的生活场景，都能得到足够多的保障。

在我们聊到“安全”的时候，很多人依旧停留在碰撞测试那一层。
那当然也重要，但对一台往 L4 时代能力栈去准备的车来说，它意味着更多。
GX，意味着一整套在极端情况下还能尽量把人带回来的控制系统。

还记得么，安全就是最大的豪华。
而安全的背后，是实打实的科技---科技豪华，是这台车唯一的底色。

#飞行汽车创始人谈小鹏GX航空级安全冗余#