“3月14日一辆奔驰车自动巡航深夜失灵，车主以120公里每小时的速度驾驶这台车狂奔了近100公里，究竟是什么原因导致了这次事故的发生？是不是像媒体说得那样，靠奔驰4s店远程控制让车停下来的呢？我们从技术角度进行了分析。”

转自：汽车电子设计按＆知乎  作者：朱玉龙  史高拔

2018年3月14日晚，在河南通往陕西的连霍高速上，一辆奔驰车定速巡航深夜失灵，时速120公里的奔驰在高速路上狂奔近一个小时，豫陕交警全力营救，结束了这惊魂的一幕。

焦作的薛先生驾驶豫H5L×××奔驰C200L轿车，沿连霍高速自东向西赴成都参加全国订货会。 独自一人驾车从连霍高速洛阳段上高速，随后开启了车辆定速巡航模式，时速120公里一路向西。一路顺利的薛先生过了三门峡东站后，需要切换人工驾驶，却发现刹车和挡位等系统无法正常运行，时速120公里的车，怎么也无法切换回去。

刚买一个多月的车子出现问题，让他不知所措，车子已经无法减速、无法停下。打开车门迫使车辆时速降至60公里薛先生曾尝试过一个办法，在车辆行驶过程中解开安全带并打开一点车门，这样可以迫使车辆降速。 “车速确实降了，从120降低到了差不多60。”车门打开一些后，车辆行驶很不稳，也很危险。于是薛先生又关上了车门，车速很快就回到了120公里/时。奔驰的高级技工也曾多次联系我，说该怎么断电、刹车、变空挡，等等(进行降速、停车的尝试)，但是都无济于事，没反应。失控那会儿，全车只有方向盘可以操控。

https://v.qq.com/txp/iframe/player.html?vid=u0606lsgdb2&width=500&height=375&auto=0

什么原因导致失控？

汽车电子设计的朱老师在文章《如何看待奔驰自动巡航的失控事件》中提到：“打开车门和安全带检测降速到60KM/h，关门之后又回到120KM/h，说明ECU里面车速维持的回路是工作正常的，我个人觉得，要么是这个连接器输入或者线束输入出问题了。

远程控制不背这个锅？

定速巡航失控应该是真实的，但是国内包括人民日报在内的报道中提到：车辆最终是依靠远程控制让车速降下来的。这种说法是存疑的，甚至倾向于不明真相的记者瞎写的，各位可别说远程控制很简单了，这是这次事件里问题最大的地方。

我结合目前车联网远程控制的原理来解释下，顺便也一起讨论下昨天比亚迪远程锁车的事。

1. 车联网典型架构

下图是典型的具备车联网功能的汽车的内部网络架构，在目前行业内，无论动力 CAN、车身 CAN 如何变化，要实现车联网的远程功能，一定会有一个 Telematics 节点，即 T-BOX。T-BOX 具备移动通信功能（4G），并将外部的指令转换为能被车内网络识别的 CAN 消息发送到总线上。某种程度上可以认为，（重点）Telematics 节点（T-BOX）是车辆和外部网络通信的唯一节点。

2. 通过 T-BOX 实现远程控制的方法

我曾经说过如果不能控制车内网络的其他节点，车联网是不完整的。现在汽车厂商也在逐渐开放更多的远程控制功能，如远程开关空调；新能源的新国标甚至要求 T-BOX 实时上报新能源车辆的数据到官方监控后台。但并不是有了 T-BOX 就可以通过手机做任何事情，远程监控汽车的一切功能和逻辑都是有前提的，就是所有的任务指令都预先已经存在于 T-BOX 的功能列表中。T-BOX 在接收到外部控制指令后经过一系列的认证和校验逻辑，然后再将功能相对应的 CAN 报文发送到总线上。

用简单的话解释就是：如果某项控制功能并没有预先做到 T-BOX 中，无论你远程通过什么方式都无法执行这项功能。

3. 远程控制的安全逻辑

汽车连上外部网络以后势必会暴露极大的安全隐患，汽车厂商当然也会做一些防护和准备。比如：不开放部分安全相关的远程功能，不在 T-BOX 中处理任何和发动机、刹车、档位相关的操作；在发动机启动后，切断所有的远程控制功能，不在接收外部控制指令。

总之，业内现在基本不会有任何厂商会在行驶中还开放和车辆操控相关逻辑和功能，高速的任何外部轻微干扰导致的后果都是不可设想的。

4. 此次奔驰事件

好，结合 2、3 两点我们推一下：

如果真的是奔驰通过远程停下了失控的车辆（可能是降低发动机转速或者降档），那么得到：

① 奔驰预先已经把发动机、档位的远程控制功能做到了 T-BOX（奔驰叫 COMAND 系统）中；

② 奔驰的逻辑是在高速行驶下依然可以接收并执行远程控制指令；

③ 车联网系统中留有其他透传和控制的后门。

如果这几条真的成立，那么奔驰的远程控制逻辑就是视消费者安全为儿戏。

这也就是我存疑的地方。目前，汽车行业内对车联网尤其是远程控制功能一直很保守，在网络安全技术不发达的时候业内都倾向于不做或者关闭操控相关的远程控制逻辑。所以，新闻爆出来的远程停车非常难以理解，我个人倾向还是等后续的官方结果再做定论。如果真的是奔驰留了后门，那后面就等着被搞吧。

5. 比亚迪远程锁车事件

事情是这样的：

比亚迪通过后台远程锁住了车主的车。这个远程锁车的操作就是在车辆静止状态下通过 T-BOX 发控制命令到 PEPS（无钥匙进入 / 启动系统），禁止了 PEPS 和发动机认证的过程，导致无法启动。

根据上面的分析，比亚迪能这么干是因为它已经在其中做了相应的逻辑，甚至在 PEPS 模块中也留了相应的后门，这么看比亚迪好像挺儿戏的，但其实这个功能的初衷是远程防盗，即车主在发现车辆被盗后能远程禁止发动机启动。所以相当于是拿好功能做了坏事。

6. 远程功能的隐忧

奔驰这次事件大家如此关注的原因就是后台竟然能操作汽车到如此程度，车主的安全和隐私怎么办。如果黑客如此攻击的话速度与激情里的恐怖场景将不再是虚构，但目前也不用特别担心，目前行业内普遍还是非常保守的做法，汽车厂商是出了名的安全至上，虽然这会导致一些功能进步缓慢，但也算是对消费者的责任。同样，未来汽车网络安全也一定会迎来一次大发展。