最近一段时间丰田汽车油门踏板故障使数百万辆丰田汽车召回。表面看是因为踏板问题引发油门加速,丰田通过增加一个金属片可以解决(也就是说是机械故障),但是让人担心的是,美国众议院能源和商务委员会开始要求丰田提供电子控制系统相关数据,即坊间流传的汽车突然加速可能是丰田汽车电子控制系统的缺陷所致的说法公开化了。在国外各大电子设计网站,关于丰田电控系统设计问题的讨论很多,无论最后结果如何,汽车电控系统事关汽车和人身安全,我们应充分重视。
汽车业应该向航空业学习
原福特公司工程师、现美国END杂志技术编辑Paul Rako 认为,在汽车中有上百块微控制器,它们通过CAN总线传感和控制汽车功能。不过,CAN总线通信干扰问题一直不断,他担心包括雨刷器、ABS还有引擎控制等控制装置都有可能通过CAN总线带来问题。Paul设计过速度控制系统,他还认为这次的问题是系统设计的错误(许多人持有此类观点,或者说是设计理念的问题)。对于丰田的工程师讲,应该会想到有时你可能同时踩下油门和刹车。
Dean Psiropoulos是霍尼韦尔宇航公司的嵌入式软件工程师,他回忆自己5辆不同年代汽车的电子系统后,对现在使用大量的嵌入式处理器(和微控制器)控制汽车里许多本身是模拟的装置持反对意见,比如仪表盘、空调系统和车窗装置等。他认为油门、转向和刹车一定不能完全由计算机控制。印度的MidTree公司硬件工程师Swapnil Sapre认为现在软件的标准不完善,他建议测试过程一定要像硬件设计的验证过程一样的坚固。
网友约翰在评论Paul的博文时总结丰田汽车事件原因有:缺乏对车制动器的软件、传感器故障检测的硬件和质量保证测试,缺少测试行业标准等问题。
笔者和在美国底特律通用汽车的朋友做了沟通,他认为设计理念很重要,丰田在汽车电子系统和软件算法设计上没有花足够的精力,以保证系统的完整性(比如单点故障的健壮性保证、电磁干扰问题等)。其实召回并不可怕,可怕的是不能发现真正的问题所在,然后改正问题。在这点上,笔者认为汽车业应该向航空业学习——航空的事故调查是非常严谨的,历时几年时间把一个事故分析清楚。
对我国汽车电控业的启示
中国汽车已进入年销售一千万辆的时代。目前国内多数汽车电控部件是国外生产,自主知识产权的汽车电控系统也越来越多,中国汽车电子系统设计正渐入佳境。但是,在关于国内汽车电子的报道中,笔者发现有关电控系统设计的讨论非常少,多数是在以器件为中心的单元部件的设计方案讨论。2006年清华大学邵贝贝教授的“安全第一的C语言规范”中讨论MISRA(汽车工业软件可靠性联合会)C问题,2009年他又发表MISRAC++的系列文章。重庆自动化所杨福宇的“CAN隐患的争辩”系列文章虽得到了博世回复,但遗憾的是没有引起业内的反响。国家核高基项目中,虽有汽车电子操作系统平台和产业题目,但是没有特别涉及汽车电子系统和软件的系统设计问题(我们知道,多数汽车电子系统并没有使用操作系统)。
汽车电子的系统设计涵盖的范围很宽,系统级的设计和仿真、系统安全性设计、软件(包括芯片固件)认证和测试、通信系统设计等是国内目前汽车电子研发的软肋,由半导体公司主导,整车厂商议论一番的聚会式论坛是不能够解决这些问题,比如大众和德尔福愿意来讲,但未必涉及这些技术,看家的本事是不能外泄的。专业学会的会议多是学校的论文,并无工程化实践经验,企业照样我行我素。看来,解决丰田这样的问题,提高国产汽车的质量还是要靠我们自己的整车、零部件、研究机构和嵌入式电子设计行业,从设计思想、理念和实践上重视系统设计和安全问题,我们正在成长中的汽车企业才不会重蹈覆辙。