Самобеглый компьютер

(Февраль 2010)

car-hacked-brakes

Живая легенда компьютерной индустрии Стив Возняк (Steve Wozniak), в далеких 1970-х создавший со Стивом Джобсом брэнд Apple, в начале февраля выступал в цикле лекций Discovery Forum 2010.

И в речи своей, вообще-то посвященной совсем другой теме, Возняк счел уместным отклониться от основной линии, чтобы упомянуть о широко обсуждаемых ныне проблемах автоконцерна Toyota — с позиций, так сказать, своего личного опыта, как владельца гибридной машины Prius модельного ряда 2010 года.

По словам Возняка, он не имеет обыкновения сердиться и расстраиваться по поводу всяких житейских неурядиц — но только в тех случаях, когда это не связано с неправильно работающими компьютерами. Однако именно таковым было его поганое ощущение от нескольких месяцев езды за рулем своего Приуса.

Возняк абсолютно уверен, что причиной сбойной работы его машины, которая при использовании круиз-контроля может переходить в режим неуправляемого ускорения и перестает реагировать на педаль газа, является ошибка программы в компьютерной системе управления автомобилем. А вовсе не залипающая педаль акселератора и другие механические проблемы, о которых твердит администрация «Тойоты».

Месяца три Возняк пытался привлечь внимание автокомпании к очевидной проблеме, однако все его усилия оказались тщетными.

Суть этого заявления, сделанного весьма уважаемым в компьютерном мире человеком, представляется очень важной. Потому что все пять с лишним месяцев с тех пор, как корпорация Toyota Motor запустила самую крупномасштабную в своей истории серию отзывов автомобилей — главным образом, для предотвращения случае неуправляемого ускорения — она остается непреклонной в одном: вся эта проблема не имеет никакого отношения к электронике.

(В феврале, правда, пришлось отозвать партию Приусов для исправления их «сугубо гибридного» программного глюка в управлении тормозами, но к основной беде с неуправляемым ускорением этот ремонт отношения не имеет).

Поначалу администрация компания всю вину возложила на неудачные половые коврики, которые могли зацеплять педаль газа. Затем, когда массовая смена половичков не очень помогла, было дано новое объяснение — сама педаль газа могла в некоторых ситуациях плохо возвращаться в исходное положение из-за накапливающегося конденсата и общих проблем в конструкции, разработанной сторонним поставщиком. Внешний поставщик, впрочем, резонно отверг выдвинутое обвинение, поскольку делает те же педали для многих других автопроизводителей, у которых проблемы залипания не возникало.

Иначе говоря, точная причина проблемы пока однозначно не установлена. Однако при этом ясно одно — компания Toyota упорно и очень энергично настаивает на том, что у нее нет абсолютно никаких свидетельств о сбойной работе программного обеспечения или электронных схем, которые могли бы вызывать неуправляемое ускорение ее автомобилей. А, соответственно, в общей сложности восемь с лишним миллионов автомобилей, отозванных за последние месяцы для устранения дефекта, незначительно модернизированы лишь в своей механической части.

В то же время целый ряд независимых экспертов по транспортной безопасности, члены нескольких расследующих комиссий от Конгресса США и также прочие авторитетные специалисты отрасли ничуть не менее уверенно говорят о другом. О том, что риски сбоев в электронике отвергаются «Тойотой» чересчур поспешно и без адекватно глубокой проработки проблемы.

Потому что достаточно лишь чуть повнимательнее изучить опубликованные материалы о подробностях автомобильных аварий и о причинах отзывов машин в автомобильной индустрии за последние годы, чтобы увидеть достаточно тревожную картину. А именно, нынешние проблемы компании Toyota с безопасностью — это очередной (только более громкий) сигнал о не очень благополучной ситуации с системами электронного управления.

Иначе говоря, о проблемах с надежностью бортового компьютерного обеспечения, которое уже стало неотъемлемой частью в конструкции машин каждого автопроизводителя и от которого все больше зависят современные водители.

Причем вполне очевидно, что Toyota является далеко не единственной автомобильной компанией, то и дело попадающей в беду с электронными системами управления. Правильнее было бы говорить, что это устойчивая проблема практически всех автопроизводителей — японских, американских, европейских и всех прочих.

Но по какой-то давно сложившейся традиции — или не называемой открыто причине — все эти компании явно не желают признавать степень серьезности своих компьютерных глюков.

[ВРЕЗКА]

Разорительный дефект

По свидетельству специалистов, в сравнении с механическими проблемами, такими как неудачные коврики или тугой от влаги ход педали, глюки в аппаратном или программном обеспечении автомобильных компьютеров гораздо сложнее отыскивать и зачастую дороже ремонтировать.

Не говоря уже о том, что признание подобного рода дефекта открывает автомобильную корпорацию для новой лавины судебных исков. Ведь тогда почти любое происшествие с машиной, происходившее в последние годы, автовладельцам захочется переложить на глючную электронику.

Если же принять во внимание тот факт, что каждая проданная в США «Тойота», начиная с модельного ряда 2007 года, имеет под капотом электронный дроссель, а некоторые из моделей используют такую систему вообще с 2002 года, то общее количество потенциально затронутых дефектом машин уже исчисляется, по самым грубым прикидкам, восьмизначными цифрами.

Пока что фирмой Toyota предложены относительно дешевые решения проблемы, вызывающей неуправляемое ускорение, — вроде установки дополнительной прокладки для педали газа, что по грубым прикидкам стоит копейки.

Если же будет найдена проблема в электронике, то дело может не ограничиться относительно дешевой перепрошивкой кода. Для исправления ситуации могут понадобиться новые микропроцессоры или новые модули управления двигателем, что может стоить куда большие деньги даже без учета стоимости работ по замене электронных деталей.

По прикидкам Майкла Печта (Michael Pecht), директора лаборатории надежности электроники в Мэрилендском университете, общая стоимость подобного ремонта может составлять свыше 100 долларов на машину. Отсюда, перемножив такую цифру на число проданных автомобилей, вполне можно понять, что в настойчивости автопроизводителей, отрицающих дефекты в своей электронике, определенно имеется смысл.

[Конец ВРЕЗКИ]

Вот лишь несколько типичных примеров из документов последних лет.

В августе прошлого года американское NHTSA, Национальное управление по безопасности движения на автострадах, сообщало, что компания Volvo отзывает свои недавние модели S80, XC70 и XC60 из-за проблем с глохнущим двигателем, связанных с багом в программном обеспечении системы управления.

Примерно за год до этого самопроизвольные остановки двигателя из-за проблем в программном обеспечении привели к отзыву внедорожников Chrysler Jeep Commander выпуска 2006 года. Еще чуть ранее, в 2004, корпорация Mitsubishi отзывала свою модель Outlander — из-за блока электронного управления, который мог перегреваться и начинать гореть.

Еще для полноты картины — в 2002 году компания Volkswagen отзывала модели Beetle, Jetta и Golf из-за дефекта в электронном управлении тормозами, способного вызывать короткое замыкание и становиться причиной пожара.

Или, скажем, целый ряд моделей корпорации Ford — F-150, Ford Expedition, Lincoln Navigator — становился причиной специального расследования федеральных властей из-за того, что их двигатели загорались после остановки, когда водители выключали мотор…

Вряд ли удивительно, что ныне эксперты по автомобильной безопасности все чаще начинают задаваться резонными вопросами типа такого: а не пора ли на автомобильную электронику — ту самую, что повсеместно принято хвалить за прогресс в безопасном автотранспорте — обратить внимание со стороны государственных регулирующих органов. Дабы, что называется, целенаправленно минимизировать риски от не уменьшающихся компьютерных дефектов и связанных с ними бед.

Например, Кларенс Дитлоу (Clarence Ditlow), исполнительный директор американского Центра автомобильной безопасности, отмечает, что федеральное правительство США пока что не сделало ничего для установления промышленных стандартов на то, каким образом должны функционировать электронные устройства в автомобилях: «Что нам сейчас требуется, это четкие нормативы относительно того, что электроника может делать, что нет, и каков должен быть уровень ее надежности».

Для тех, кто следит за динамичной картиной компьютеризации автомобилей, совершенно не стало сюрпризом, что проблемы с электронным управлением машин стали заметно нарастать. Да и как может быть иначе, если технологии стали массовыми и повсеместно распространенными.

За последнее десятилетие электронные системы управления — в большинстве своем построенные на основе чипов-микроконтроллеров — стали базовым инструментарием в общей системе функционирования машины: от двигателя, трансмиссии, рулевого управления и круиз-контроля до воздушных подушек безопасности, противоугонной сигнализации, аэрокондиционера, управления дворниками и фарами, или, наконец, систем предотвращения столкновений.

В наиболее дорогих автомобилях класса high-end ныне уже почти половина цены машины складывается из ее электронных компонентов. Причем процесс этот неуклонно движется лишь в одном направлении — к увеличению доли стоимости электроники.

Так, во всяком случае, свидетельствует Моше Гаврилов (Moshe Gavrielov), исполнительный директор компании Xilinx, массово поставляющей чипы с перепрограммируемой логикой в самые разные отрасли, включая и автомобильную индустрию. Здесь эти чипы помогают водителям парковать машины, управляют бортовыми мультимедиа-системами и выполняют множество других самых разных функций.

По мнению Гаврилова, в столь быстром превращении автомобилей из обычных транспортных средств в сложные самодвижущиеся компьютеры есть что-то «совершенно феноменальное».

Причем очень мало находится людей, считающих, что это плохо. Скорее наоборот, многие эксперты настаивают, что мощно компьютеризированная начинка автомобилей делает значительно больше хорошего, нежели плохого.

[ВРЕЗКА]

Выгоды очевидны

Расс Рейдер (Russ Rader), представитель американского Страхового института автодорожной безопасности, при обсуждении электронных систем управления в автомобилях отмечает, что в целом они имеют огромный потенциал всевозможных выгод. Что же касается безопасности, то согласно исследованиям их института, сейчас около 90 процентов всех автомобильных аварий приходится на ошибки людей, а отнюдь не компьютеров.

В качестве одного из примеров очевидной выгоды, Рейдер приводит системы электронного управления устойчивостью машины — уже сегодня имеющиеся на многих автомобилях, а по требованию федерального правительства США обязательные к установке для всех легковушек, внедорожников, пикапов и минивэнов начиная с 2012 года.

Используя датчики и микрочипы для отслеживания того, как автомобиль реагирует на рулевое управление водителя, система автоматически применяет тормоза или подстраивает работу двигателя в опасных ситуациях — чтобы удержать машину от заноса или переворачивания.

По данным Страхового института, с тех пор как такую систему стабилизации впервые установили в 1995 году на машинах Mercedes-Benz класса S, электронное управление устойчивостью сократило риски фатальных одиночных аварий машин на 51 процент, а при авариях с участием нескольких машин — на 19 процентов.

В конечном же счете, как полагают наиболее рьяные сторонники автомобильной компьютеризации, машины будут по сути дела водить себя сами. Именно эта идея заложена в основу исследовательского проекта компании Volkswagen, запущенного в ноябре прошлого года совместно с компьютерной корпорацией Sun Microsystems и учеными Стэнфордского университета.

Данный коллектив работает над тем, что в компании называют «автономным Audi» — автомобилем, который высвобождает своему владельцу массу времени, сам заботясь обо всех рутинных операциях вождения. Вроде ежедневного, к примеру, маневрирования среди машин на автостоянке к своему заранее определенному месту.

[Конец ВРЕЗКИ]

[ВРЕЗКА]

Чувство брэнда

В современном автомобиле практически любая подсистема, управляемая или сопровождаемая электроникой, может быть перепрограммирована. Для большинства подобных машин это означает, что в принципе здесь можно изменять характер реакции двигателя на нажатие педали газа, легкость поворотов рулевого колеса, жесткость тормозной системы, особенности климат-контроля или даже звук урчания мотора.

Ныне становится вполне обычным делом, когда на приборной панели машины есть специальная кнопка «Sport» для ее переключения в альтернативный режим работы. То есть в обычных условиях городского трафика системы управления функционируют более мягко и расслабленно, однако когда водитель нажимает такую кнопку, то все реакции автомобиля становятся ощутимо более резкими и быстрыми для «крутого» вождения по загородным трассам.

Инженеры самых разных автомобильных брэндов активно экспериментируют с дальнейшим развитием подобного рода идей. Когда можно брать в сущности одни и те же базовые компоненты электроники (поскольку так получается гораздо дешевле), но программировать в них весьма специфические особенности езды.

Иначе говоря, формирование у владельца машины особого чувства вождения, свойственного имиджу того или иного конкретного брэнда, в данном случае достигается процедурами «фирменной» калибровки программно-аппаратного обеспечения в электронной системе управления.

Как признают маркетологи, в эпоху, когда брэнды являются средством самовыражения, подобные манипуляции становятся критично важной частью автомобильного маркетинга. И пока что именно эта часть для продаж считается куда более актуальной и насущной, чем соответствие неким единым — но пока еще даже не сформулированным — стандартам на безопасную автомобильную электронику.

[Конец ВРЕЗКИ]

Нельзя, однако, отрицать, что насыщенный микропроцессорами автомобиль непременно имеет и оборотную сторону — теперь диагностика потенциальных угроз безопасности, которую несут в себе подверженные глюкам электронные гаджеты, может быть чрезвычайно сложной.

Особенно, если речь идет об опасных дефектах из разряда «блуждающих», то есть возникающих нерегулярно и при не очень ясных обстоятельствах. В подобных ситуациях глюк необходимо засечь именно в момент проявления, поскольку в противном случае внести исправления просто невозможно.

Упоминавшееся в самом начале выступление Стива Возняка — о его личных проблемах с Приусом «Тойоты» — содержало в себе один весьма принципиальный момент. В своей речи он подчеркнул, что не только убежден в компьютерном происхождении дефекта, вызывающего самопроизвольное ускорение машины, но и выразил уверенность, что способен воспроизвести этот сбой сколь угодно большое количество раз.

Стив Возняк — это, без всяких преувеличений, один из самых известных специалистов в мировой компьютерной индустрии. И вряд ли автомобильной корпорации, попавшей ныне в откровенно непростую ситуацию из-за технических проблем в своей продукции, стоило игнорировать столь прямое предложение о помощи в поисках причин беды.

Однако Toyota поступила именно так — сделав вид, будто авторитетного свидетельства Возняка не было вовсе.

Факт этот не может не вызывать сожаление, потому что очевидный ныне процесс тесного слияния компьютерной и автомобильной индустрий в аспектах безопасности вызывает справедливые нарекания.

С одной стороны, без всяких натяжек можно говорить, что весьма популярная в мире инфотехнологий идея о «всепроникающем компьютинге», незаметно для глаза охватывающем все стороны жизни человека, в своем реальном и наиболее завершенном виде находит воплощение именно в автомобилях.

С другой же стороны, одна из серьезнейших проблем здесь в том, что автоиндустрия не очень сильна в деле интеграции программного обеспечения от множества разных разработчиков.

Хуже того, большинство электронных узлов в своих машинах ревнивые автоизготовители трактуют как «черные ящики», недоступные для внешнего анализа и ремонта. А в итоге вся компьютерная начинка автомобиля становится одним большим черным ящиком — не только для водителя, но и для множества авторемонтных мастерских, не имеющих статуса «фирменного сервиса».

По этой причине владельцы современных автомобилей с продвинутой автоматикой ныне понятия не имеют, что и как там работает в электронных схемах, управляющих принципиально важными подсистемами транспортного средства.

Но при этом именно водителям на собственном опыте приходится испытывать, к сколь серьезным последствиям приводят излишне поспешные шаги по сведению в единую систему множества узлов, влияющих друг на друга не очень понятным пока еще образом.

Потому что на этапе разработки и тестирования самобеглого продукта, в своей бортовой электронике имеющего уже порядка 100 миллионов строк кода, выявить все баги программно-аппаратной части невозможно в принципе. А срок создания новой модели автомобиля, по свидетельству сведущих людей, при этом ужался с привычных когда-то пяти лет до всего лишь 15 месяцев.

Нельзя сказать, будто в автомобильной индустрии недооценивают первостепенную важность безопасности при интеграции множества компьютерных систем. Или что там неверно оценивают риски, которые несут с собой чересчур поспешные шаги по массовому внедрению продвинутой электроники в автомобили. Все это там прекрасно понимается.

Однако очевидные преимущества на избранном пути столь велики, что практически все — как инсайдеры индустрии, так и внешние аналитики — единодушно сходятся в одном. Общий процесс развития и дальше будет идти только в одном направлении — ко все большему насыщению автомобилей микропроцессорами и автоматикой.

Причем важнейшей причиной тому нередко выдвигают именно безопасность. Все статистические данные свидетельствуют, что внедрение компьютеров в целом снижает количество и тяжесть последствий при автомобильных авариях. (Как с иронией пояснил эту ситуацию один комментатор, «меня, конечно, нервирует, что моей машиной управляет компьютер, но я очень доволен, что он управляет вашими машинами».)

Что же касается автомобилей с «классической» конструкцией на основе механических подсистем, то и у них, скорее всего, останется на рынке своя ниша. Примерно такая же, как у проигрывателей виниловых пластинок или фотоаппаратов с целлулоидной пленкой.

infiniti-q50