也谈刹车刹不住

有人说为什么特斯拉总是刹车失灵,燃油车怎么就没有这事儿。
帮大家回忆一下燃油车早年间著名的“刹不住车”事件,大家以史为鉴。
 
自2007年起,丰田公司旗下的多款车型疑似因加速踏板故障存在自动加速问题,导致多起伤亡。例如在2009年,一份时长仅49秒的911报警录音显示,一辆雷克萨斯汽车在美国加利福尼亚州圣地亚哥附近的高速公路上行驶时加速踏板疑似被卡住。录音的结尾部分传出惊恐的尖叫声,之后这辆雷克萨斯车毁人亡,这场车祸夺去了四条生命。
 
当时美国《洛杉矶时报》的调查结果一度显示,2002年及以后生产的丰田和雷克萨斯车型中,可能因突然加速导致的事故致使19人死亡。美国汽车安全研究与策略机构主席肖恩·卡内说,2001年以来所产丰田车中发生过近2000起突然加速事件。
 
2010年2月2日,美国国家公路交通安全局(NHTSA)开始调查丰田电子油门控制系统。
2月4日,NHTSA开始调查针对普锐斯刹车问题的100多起投诉。
2月5日,丰田章男举行新闻发布会,宣布成立质量监理小组。
2月9日,丰田宣布召回近50万辆普锐斯及雷克萨斯混合动力车。
2月10日,丰田开始修补普锐斯的制动系统。
 
但是到了2011年2月8日,美国交通部发布了针对丰田的电子节气门控制系统与“不自主突然加速”之间的关联性进行的调查结果,声明称:“在我们对汽车加速问题进行调查后,发现在电子元件方面丰田汽车并未存在缺陷。据悉,在这起由美国交通部下属国家公路交通安全管理局以及美国宇航局工程师主导的调查中,没有发现丰田汽车电子控制系统以及由软件控制的节气门存在缺陷。”该报告基本全面支持丰田方面一贯否认电子系统缺陷的主张。
回过头来,此前2010年7月29日丰田汽车副社长内山田竹志在日本就调查报告曾经表示过:“自丰田召回事件发生以来,丰田与美国方面一起对3000多件刹车事故逐一检查,目前丰田方面的最终调查报告还未成形,但是从现在的数据显示来看,有95%左右的事故是由驾驶者的操作失误造成,这充分证明丰田汽车的电子控制系统没有问题。”
至此,丰田召回门告一段落。
 
但是到了2013年10月,2007年一辆2005年款凯美瑞暴冲(Unintended Acceleration,UA)致一死一伤事件的诉讼戛然而止,丰田被判有责。引起广泛关注的是庭审中主要证人Michael Barr的证词让陪审团同意丰田的动力系统软件存在巨大漏洞可能导致此类事件。
这是丰田在同类事件中第一次被判有责。庭审过后丰田马上同意支付300万美元进入调解程序。
 
Michael Barr 是一位广受尊敬的嵌入式软件工程师专家。他花了超过 20 个月的时间审查丰田的源代码,审查地点设在一个酒店套间大小的房间内,房间一共有五个隔间,Barr 就在这五个隔间中的一个里进行审查工作。审查过程由保安全程监视,参与者工作时不能穿皮带或者戴手表,而且连一张纸都无法带进带出。Barr对丰田源代码给出了法庭证词,这些证词都基于他所做的长达800多页的测试报告。
 
Michael Barr的证词被中国人翻译过来了,下面我简单总结一下:
1)2005款丰田凯美瑞上控制节气门的程序严重偏离丰田内部编程规范;
2)该款软件28万行代码却有超过1万1千个全局变量;
3)对关键变量的位反转之类的硬件错误检测和修复可能缺失;
4)综上,堆栈溢出→可能→任务分配表被改写→可能→Task X死亡→可能→节气门敞开→导致→汽车暴冲。
除了丰田凯美瑞2005款没有搭载堆栈实时监测功能(溢出了也不知道)外,它的“看门狗”设计还忽略了两个嵌入式系统常识:
1)居然不是监控核心系统异常,而是防止CPU过载的,而且允许CPU过载1.5秒,这期间司机可能无法控制动力;
2)使用硬件时钟中断喂狗,主程序卡死也不能阻止硬件中断。
 
Barr作证说:“你让软件看管软件。如果这个软件失灵了还是由同一套程序或者应用来挽救局面的话是难当此任的,因为它已经失效了。”
至此孰是孰非就无需多言了。

posted @ 2021-04-23 15:17  老兵笔记  阅读(404)  评论(0编辑  收藏  举报