(Впервые опубликовано – май 2005)
О рисках компьютерных технологий, массово внедряемых в автомобилях
Для начала обзора – два характерных сюжета из современной жизни, которые вполне наглядно доносят суть и важность обсуждаемого предмета.
На проходившей недавно в Детройте компьютерно-автомобильной конференции Microsoft Global Automotive Summit участникам довелось услышать совместное выступление интересного дуэта из двух Биллов – не нуждающегося в дополнительных представлениях Б. Гейтса и Б. Форда-младшего, председателя и генерального директора корпорации Ford Motor.
Из обращенных в будущее речей столь важных и влиятельных персон аудитория узнала, что недалек уже тот день, когда компьютерные технологии и продвинутое программное обеспечение позволят машинам не только самостоятельно себя ремонтировать, но и вообще избегать дорожных аварий.
А чуть ли не главными параметрами в конкурентной борьбе автомобильных концернов за покупателя станут не собственно транспортные качества машин, а наличие у них экранов высокого разрешения, технологии распознавания речевых команд, встроенных видеокамер, цифровых календарей и развитого навигационного оборудования с подробным знанием местности и дорожных условий.
Короче говоря, по мнению докладчиков, именно компьютерные технологии станут ключом к успеху в автомобилестроении недалекого будущего.
Что там ожидает нас в грядущем, никто пока, естественно, не знает. Но зато уже вполне известно, как может выглядеть в реальности ситуация с чрезмерным перекладыванием функций управления машиной на компьютерную автоматику (это второй “сюжет для затравки”).
В мае 2003 года министр финансов Таиланда Сухарт Яовисидха (Suchart Jaovisidha) ехал на деловую встречу в своем роскошном правительственном BMW, когда на одной из улиц Бангкока в машине произошел сбой бортового программного обеспечения. В результате этого сбоя мотор заглох, двери оказались заперты, сервоприводы оконных стекол заблокированы, а воздушный кондиционер выключен.
Лишь благодаря тому, что швейцар у дверей ближайшего отеля проявил бдительность, понял ситуацию и, сбегав за кувалдой, после нескольких неудачных попыток все-таки сумел разбить стекло машины, министр и его шофер едва не задохнулись в своем чересчур умном, но норовистом лимузине…
Количество всевозможных компьютерных устройств на борту современных дорогих автомобилей сегодня уже может переваливать за сотню. Интеллектуальные микроконтроллеры и процессоры управляют самыми разными сервисами – от критически важных, вроде тормозов и сцепления, и просто существенных, типа аэрокондиционера и регулировки положения кресел, до вспомогательных, вроде систем навигации и цифровых развлечений.
В определенном смысле можно говорить, что давно уже обуревающая конструкторов идея о “всепроникающем компьютинге”, незаметно для глаза охватывающем все стороны жизни человека, в своем реальном и наиболее завершенном виде находит воплощение именно в автомобилях.
Но одна из серьезнейших проблем здесь в том, что автоиндустрия не очень сильна в деле интеграции программного обеспечения от множества разных разработчиков. Именно поэтому пользователям современных автомобилей с продвинутой автоматикой на собственном опыте приходится испытывать, к сколь серьезным последствиям приводят излишне поспешные шаги по сведению в единую систему множества узлов, влияющих друг на друга не очень понятным пока что образом.
Ярчайший тому пример – история с тайским министром, когда далеко не самые критичные элементы автоматики (замки, окна, кондиционер) в совокупности своим отказом создают серьезнейшую угрозу жизни для водителя и пассажиров.
Да и других примеров ныне хватает в избытке. Наибольший среди них резонанс на сегодняшний день получают, пожалуй, истории с системами круиз-контроля.
Круиз-контроль (в народе нередко именуемый “автопилот”) служит для автоматического поддержания постоянной скорости машины на трассе и в своем простейшем виде используется в автомобилях уже не первое десятилетие. Но если прежде это был дополнительный, “навесной” атрибут комфортабельности в дорогих машинах, то с некоторых пор круиз-контроль стал вполне обычной подсистемой, встраиваемой в автомобили уже на этапе конвейерной сборки.
Понятно, что круиз-контроль по самой природе своей является системой, отказы которой весьма критичны с точки зрения безопасности вождения. И степень критичности этой возросла многократно с тех пор, как “автопилот” встроили в единую систему бортовой компьютерной электроники.
Вот одна из хорошо задокументированных историй.
В начале 2004 года американка Энджел Экк (Angel Eck), ранним утром ведя свой Pontiac Sunfire по пустынной автомагистрали в направлении к Денверу и воспользовавшись круиз-контролем, неожиданно обнаружила, что не может сбросить достаточно высокую скорость машины ни нажатием на тормоза, ни переводом рычага сцепления в нейтральное положение, ни выключением зажигания.
В отличие от перенаселенной Европы, безлюдные регионы США, как и в России, часто не накрыты сетями сотовой связи, но, в конце концов, мобильник Экк заработал, и она смогла дозвониться за помощью к знакомому механику. Ни один из его советов, правда, не помог в остановке взбесившегося автомобиля, несущегося со скоростью около 130 км/час, но зато находившийся рядом с механиком коллега связался со службой спасения 911.
Предупрежденная полиция заранее расчистила автостраду на подъезде к Денверу и разогнала параллельно одну из своих тяжелых патрульных машин, которая затем выехала перед “Понтиаком” и начала понемногу притормаживать. После небольшого начального удара машины вошли в контакт, и в конечном итоге автомобиль Экк все-таки удалось остановить.
Когда эта история впервые появилась в средствах массовой информации, то многие люди, обладающие общими познаниями в устройстве автомобиля и в компьютерных технологиях, выразили сильнейшее сомнение относительно того, что подобное вообще возможно.
Как-то совершенно не верилось в столь экзотический сбой электроники, который одновременно затронул бы зажигание, трансмиссию и обе тормозные системы, включая стояночный тормоз, который, вроде бы, вообще механический и никак не связан с остальными системами машины.
В общем, были сильные подозрения, что то ли это журналисты-фантазеры чересчур насочиняли, то ли 20-летняя девица Энджел Экк решила таким образом прославиться и просто инсценировала все произошедшее…
Но вот в одном из сетевых форумов, посвященных компьютерным рискам и безопасности, специалист, профессионально занимавшийся высокоскоростными тестированиями машин для одной из 3 крупнейших корпораций автоиндустрии США, рассказал следующее.
Он лично вел одну из машин компании по автостраде, когда в режиме круиз-контроля с ним произошла очень похожая история. Опыта вождения у этого человека было существенно больше, так что он, проехав в таком режиме до наиболее свободного и прямого участка трассы, вывел машину на осевую и вынул ключ зажигания из замка. В таких условиях рулевое колесо механически блокируется, но и система зажигания принудительно размыкается, поэтому машина понемногу остановилась.
Исследование отказавшей техники в гараже показало, что виной всему, скорее всего, стал развалившийся небольшой пластмассовый тахометр (датчик частоты вращения) в системе трансмиссии. Из-за его кончины бортовой компьютер посчитал, что машина замедляется и для компенсации “поддал газу”. В современных машинах педаль газа не связана напрямую тросиком с заслонкой дросселя, а через электронные датчики подает сигналы электронной системе впрыска топлива.
Вдобавок “автопилот” в принципе не понял произошедшего, вошел в ступор и перестал реагировать на команды водителя. В обычном режиме круиз-контроля нажатие на педаль тормоза или газа аналогично команде Reset и отключает автоматическое управление скоростью. Однако в данном случае, вследствие “глюка” в программе, компьютер перестал реагировать на команды педалей, поскольку считал, что машина уже остановлена.
Выражаясь компьютерным языком, в этой ситуации машине требовалось отключение электричества и полная аппаратная перезагрузка, в то время как автоматика допускала лишь “горячую” программную перезагрузку системы.
Точно известно, что после этой истории от дешевых пластмассовых деталей в новой трансмиссии вновь пришлось вернуться к более прочным металлическим, однако удалось ли отыскать и исправить все глюки в программном обеспечении бортового компьютера так и не названной испытателем фирмы – знать не может никто. Хотя бы потому, что версии программного обеспечения обновляются ежегодно и по много раз.
В силу понятных причин истории об отказах круиз-контроля чаще всего попадают в прессу, на основании чего можно судить, что проблемы с надежностью этой весьма критичной системы испытывают многие известные фирмы автоиндустрии – Audi, Renault, General Motors, Ford и другие.
Наиболее, наверное, экзотическую форму эти проблемы приобрели у “Форда”, где сразу несколько моделей – чаще всего F-150, Ford Expedition и Lincoln Navigator – из-за использования круиз-контроля не столько бунтуют на дороге, сколько загораются после остановки, когда водитель выключает мотор.
По этому поводу федеральные власти даже проводили специальное расследование, которое вроде бы нашло причины самовозгораний моторов, а компания «Форд», соответственно отзывала все рискованные модели для исправления предполагаемого дефекта в уже проданных машинах. Но, увы, случаи самовозгорания не прекратились и после этого.
На разнообразные программно-аппаратные глюки сегодня приходится примерно треть всех сдаваемых в ремонт современных машин. Причем глюки эти имеют тенденцию в первую очередь проявляться в дорогих автомобилях повышенной комфортности, где число компьютеров исчисляется многими десяками, а программное обеспечение установлено самое новейшее (а потому, ясное дело, наименее протестированное).
Как естественное тому следствие – возросшее количество отзывов машин изготовителем для внесения доработок в автоматику.
Весной 2004 года, к примеру, компании Mercedes-Benz пришлось прибегнуть к крупнейшему в своей истории отзыву уже проданных автомобилей из-за проблем с широко расхваленной ранее системой тормозов «Sensotronic», которая опирается на систему датчиков для вычисления оптимального тормозного давления для каждого колеса индивидуально.
В общей сложности пришлось отозвать для доработки около 680 000 машин, поскольку пузырьки воздуха в гидравлическом резервуаре могли вызывать отказ тормозов. О реальных несчастных случаях такого рода, правда, в прессе ничего не сообщалось.
Аналогичным образом компании Jaguar пришлось отозвать почти 68 000 машин в апреле 2004 года после того, как в электронном модуле управления был обнаружен дефект, вызывающий самопроизвольное переключение коробки передач в режим заднего хода.
На веб-сайтах автолюбителей, вроде AutoSpies.com, где регулярно накапливаются впечатления и отчеты владельцев продвинутых, напичканных электроникой машин, в изобилии можно встретить жалобы на взбрыкивания техники.
Например, особо много нареканий вызвали BMW 7-й серии, когда компания-изготовитель оборудовала их интегрированной бортовой компьютерной системой iDrive под управлением Windows CE. В 2003 году компании пришлось отозвать свыше 15 тысяч своих “семерок” оборудованных iDrive.
Подобные истории происходят практически со всеми автомобильными компаниями, особенно для первых поколений капитально компьютеризированных моделей, когда новая электроника еще не успела пройти полной и всесторонней отладки.
При этом, во избежание негативных откликов в прессе, автопроизводители нередко принуждают владельцев машин подписывать соглашение о неразглашении – как одно из условий бесплатного гарантийного ремонта и обслуживания машины.
По этой причине широкая публика зачастую понятия не имеет, где в том или ином конкретном автомобиле работой подсистем управляет процессор, а где обычная механика. Яркий тому пример – система ручного/стояночного тормоза, которую по традиции принято считать чисто механической.
Но вот для машины Renault Scenic 2004 года, к примеру, достоверно известно, что здесь стояночный тормоз находится под контролем компьютерной системы, причем той же самой, которая управляет зажиганием. (Интересно, что у машин компании Renault в Европе больше всего, похоже, историй с отказавшим круиз-контролем. Недавно фирма сочла даже необходимым защитить свою репутацию в суде, призвав к ответу за клевету водителей, обвиняющих в нарушении правил вождения глючную автоматику машины.)
Когда в Renault Scenic 2004 из слота вынимаешь “карту зажигания”, то стояночный тормоз включается автоматически. Кроме того, имеется также ручка слева/ниже рулевого колеса, которая посылает команду «включить паркинг», но делается это с некоторой задержкой, порядка полусекунды.
Благодаря электронике своеобразно действует и механизм снятия машины со стояночного тормоза. Этот тормоз выключается автоматически, когда машина трогается с места. На первый взгляд, такое решение может показаться очень удобным, но подобное удобство оказывается крайне серьезной проблемой где-нибудь на крутых склонах, да еще при скользкой дороге.
Именно в такую ситуацию попал один из водителей Renault Scenic, взявший ее напрокат, будучи в заснеженных Альпах. На одном из подъемов вдоль края обрыва машина уперлась в полностью засыпанный снегом участок дороги, когда единственное, что оставалось – сделать разворот и вернуться обратно.
На узкой дороге это можно осуществить лишь одним способом – аккуратно сдав назад с поворотом на 90°, а затем завершить маневр поворотом вперед на остальные 90°. Плюс, когда все это делается на склоне горы, главными здесь моментами становятся аккуратная работа с педалью сцепления и высвобождение в нужный момент ручного тормоза. Иначе скользкая дорога и гравитация стащут машину на край обрыва и далее в пропасть.
Однако когда ручным тормозом управляет компьютер и высвобождает его сразу вместе с началом движения, проделать этот хитроумный маневр становится очень сложно и чрезвычайно опасно, поскольку переход на “ручное управление” в конструкции не предусмотрен.
Понятно, что конструкторы автомобильной автоматики не могут на этапе разработки предусмотреть все мыслимые режимы эксплуатации техники, включая описанный выше экстремальный. Но понятно и то, что в идеале изобилие автомобильной электроники должно сопровождаться и грамотной бортовой системой диагностики, содержательно регистрирующей все происходящие с техникой сбои и неполадки.
Увы, поскольку важнейший фактор в конкурентной борьбе автокорпораций – это снижение себестоимости товара, повсеместного распространения встроенной бортовой диагностики ожидать не приходится. А потому в качестве более эффективного способа устранения неполадок следует считать такой пример из жизни.
Жарким летним днем прошлого года миниван Dodge американской семьи Миллзов выдал любопытный фортель – после примерно часа езды машина начала поджаривать детей, сидящих на заднем сиденье. Родителей на передних креслах овевала прохлада кондиционера, а вот в задней части салона вовсю раскочегарилась печка, причем ни в какую не желая выключаться.
Три последующих посещения авторемонтных мастерских, изнуряющее ожидание в очередях и замена разных механических деталей системы так и не смогли решить проблему с глючной печкой. Но владелец “Доджа” Натан Миллз, специалист по компьютерным сетям в IBM, оказался человеком на редкость въедливым и упорным.
В конце концов, он просто выкатил свой миниван на дорогу и колесил на нем до тех пор, пока печка опять не включилась и не начала поджаривать салон. Тогда Миллз поспешил в мастерскую, чтобы механики выловили ошибку автоматики по горячим в буквальном смысле следам.
В такой ситуации мастерам понадобилось не больше двух минут, чтобы подсоединить диагностический прибор и найти причину сбоя. Как это часто бывает, причиной оказалась некорректная работа программы в случае отказа сенсора, на этот раз температурного датчика…
Интересно, что несмотря на постоянные стоны и причитания автолюбителей в веб-форумах по поводу глюков электроники, тотальная компьютеризация автомобилей вовсе не вызывает массового неприятия. Напротив, большинству людей очень даже нравится многократно возросшая комфортабельность машин, пусть иногда и взбрыкивающих.
Ну а дорожная полиция тем временем, говорят, оттачивает методы отлова и остановки взбесившихся самодвижущихся компьютеров, вышедших из-под контроля своих водителей. Потому что случаев таких не становится меньше.
Пока, скорее, даже наоборот.
kiwi arXiv 