Обратная сторона педали

СКОРО НЕ ТОЛЬКО АВТОМОБИЛИ, НО И ВСЕ БЕЗ ИСКЛЮЧЕНИЯ КУХОННЫЕ КОМБАЙНЫ, ПЫЛЕСОСЫ, СТИРАЛЬНЫЕ МАШИНЫ, ЭЛЕКТРИЧЕСКИЕ ЗУБНЫЕ ЩЕТКИ И ДВЕРНЫЕ ЗАМКИ БУДУТ УПРАВЛЯТЬСЯ ПРОГРАММАМИ. НО КТО ОТВЕЧАЕТ ЗА ИХ НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ? 
Живая легенда компьютерной индустрии Стив Возняк (Steve Wozniak), в далеких 1970-х создавший со Стивом Джобсом бренд Apple, в начале февраля выступал в цикле лекций Discovery Forum 2010. И в речи своей, вообще-то посвященной совсем другой теме, Возняк счел уместным отклониться от основной линии, чтобы упомянуть о широко обсуждаемых ныне проблемах автоконцерна Toyota — с позиций, так сказать, своего личного опыта как владельца гибридной машины Prius модельного ряда 2010 года.
По словам Возняка, он не имеет обыкновения сердиться и расстраиваться по поводу всяких житейских неурядиц — но только в тех случаях, когда это не связано с неправильно работающими компьютерами. Однако именно таковым было его гадкое ощущение от нескольких месяцев езды за рулем своего «Приуса». Возняк абсолютно уверен, что причиной сбойной работы его машины, которая при использовании круиз-контроля может переходить в режим неуправляемого ускорения и перестает реагировать на педаль газа, является ошибка программы в компьютерной системе управления автомобилем. А вовсе не «залипающая» педаль акселератора и другие механические проблемы, о которых твердит администрация «Тойоты». Месяца три Возняк пытался привлечь внимание автокомпании к очевидной проблеме, однако все его усилия оказались тщетными.
Суть этого заявления, сделанного весьма уважаемым в компьютерном мире человеком, представляется очень важной. Потому что все пять с лишним месяцев с тех пор, как корпорация Toyota Motor запустила самую крупномасштабную в своей истории серию отзывов автомобилей — главным образом для предотвращения случаев неуправляемого ускорения, — она остается непреклонной в одном: вся эта проблема не имеет никакого отношения к электронике. (В феврале, правда, пришлось отозвать партию «Приусов» для исправления их «сугубо гибридного» программного «глюка» в управлении тормозами, но к основной беде с неуправляемым ускорением этот ремонт отношения не имеет).
Поначалу администрация компании всю вину возложила на неудачные половые коврики, которые могли зацеплять педаль газа. Затем, когда массовая смена половичков не очень помогла, было дано новое объяснение: сама педаль газа могла в некоторых ситуациях плохо возвращаться в исходное положение из-за накапливающегося конденсата и общих проблем в конструкции, разработанной сторонним поставщиком. Внешний поставщик, впрочем, резонно отверг выдвинутое обвинение, поскольку делает те же педали для многих других автопроизводителей, у которых проблемы залипания не возникало.
Иначе говоря, точная причина проблемы пока однозначно не установлена. Однако при этом ясно одно: Toyota упорно и очень энергично настаивает на том, что у нее нет абсолютно никаких свидетельств сбойной работы программного обеспечения или электронных схем, которая могла бы вызывать неуправляемое ускорение ее автомобилей. И, соответственно, в общей сложности восемь с лишним миллионов автомобилей, отозванных за последние месяцы для устранения дефекта, незначительно модернизированы лишь в своей механической части.

Выгоды очевидны
Представитель американского Страхового института автодорожной безопасности Расс Рейдер (Russ Rader) отмечает, что в целом электронные системы управления в автомобилях обещают множество всевозможных выгод. Что же касается безопасности, то, согласно проводившимся исследованиям, сейчас около 90 процентов всех автомобильных аварий приходится на ошибки людей, а отнюдь не компьютеров.
В качестве одного из примеров очевидной выгоды Рейдер приводит системы электронного управления устойчивостью машины — уже сегодня имеющиеся на многих автомобилях, а по требованию федерального правительства США обязательные к установке для всех легковушек, вседорожников, пикапов и мини-вэнов начиная с 2012 года. Используя датчики и микрочипы для отслеживания того, как автомобиль реагирует на рулевое управление водителя, система автоматически применяет тормоза или подстраивает работу двигателя в опасных ситуациях — чтобы удержать машину от заноса или переворачивания.
По данным Страхового института, с тех пор как такую систему стабилизации впервые установили в 1995 году на машинах Mercedes-Benz S-Klasse, электронное управление устойчивостью сократило риски фатальных одиночных аварий машин на 51 процент, а при авариях с участием нескольких машин — на 19 процентов.
В конечном же итоге, как полагают наиболее рьяные сторонники автомобильной компьютеризации, машины будут, по сути дела, «водить себя сами». Именно эта идея заложена в основу исследовательского проекта компании Volkswagen, запущенного в ноябре прошлого года совместно с компьютерной корпорацией Sun Microsystems и учеными Стэнфордского университета. Коллектив работает над тем, что в компании называют «автономным Audi» — автомобилем, который высвобождает своему владельцу массу времени, сам заботясь обо всех рутинных операциях вождения. Вроде ежедневного, к примеру, маневрирования среди машин на автостоянке к своему заранее определенному месту.

В то же время целый ряд независимых экспертов по транспортной безопасности, члены нескольких расследующих комиссий от Конгресса США, а также прочие авторитетные специалисты отрасли ничуть не менее уверенно говорят о другом. О том, что риски сбоев в электронике отвергаются «Тойотой» чересчур поспешно и без необходимой тщательной проработки проблемы.
Достаточно лишь чуть внимательнее изучить опубликованные материалы о подробностях автомобильных аварий и о причинах отзывов машин в автомобильной индустрии за последние годы, чтобы увидеть весьма тревожную картину. А именно: нынешние проблемы компании с безопасностью — это очередной (только более громкий) сигнал о не очень благополучной ситуации с системами электронного управления. Иначе говоря, о проблемах с надежностью бортового компьютерного обеспечения, которое уже стало неотъемлемой частью в конструкции машин каждого автопроизводителя и от которого все больше зависят сегодня водители.
При этом вполне очевидно, что Toyota является далеко не единственной автомобильной компанией, то и дело попадающей в беду с электронными системами управления. Правильнее было бы говорить, что это устойчивая проблема практически всех автопроизводителей — японских, американских, европейских и прочих. Но по какой-то давно сложившейся традиции — или не называемой открыто причине — все эти компании явно не желают признавать степень серьезности своих компьютерных «глюков».
Вот лишь несколько типичных примеров из документов последних лет. В августе прошлого года американское Национальное управление по безопасности движения на автострадах (NHTSA) сообщало, что компания Volvo отзывает свои недавние модели S80, XC70 и XC60 из-за проблем с глохнущим двигателем, связанных с «багом» в программном обеспечении системы управления. Примерно за год до этого самопроизвольные остановки двигателя из-за проблем в программном обеспечении привели к отзыву внедорожников Chrysler Jeep Commander выпуска 2006 года. Еще чуть ранее, в 2004-м, корпорация Mitsubishi отзывала свою модель Outlander — из-за модуля электронного управления, который мог перегреваться и загораться. Для полноты картины: в 2002 году компания Volkswagen отзывала модели Beetle, Jetta и Golf из-за дефекта в электронном управлении тормозами, способного вызывать короткое замыкание с последующим пожаром. А целый ряд моделей корпорации Ford — F-150, Ford Expedition, Lincoln Navigator — стал причиной специального расследования федеральных властей из-за того, что их двигатели загорались после остановки, когда водители выключали зажигание…
Разорительный дефект
По свидетельству специалистов, в сравнении с механическими проблемами, такими как «неудачные коврики» или «тугой от влаги ход педали», «глюки» в аппаратном или программном обеспечении автомобильных компьютеров гораздо сложнее отыскивать и зачастую дороже ликвидировать. Не говоря уже о том, что признание подобного рода дефекта делает автомобильную корпорацию уязвимой для новой лавины судебных исков. Ведь тогда почти любое происшествие с машиной, происходившее в последние годы, автовладельцам захочется переложить на ненадежную электронику.
Если же принять во внимание тот факт, что каждая проданная в США «Тойота» начиная с модельного ряда 2007 года имеет под капотом электронный дроссель, а некоторые из моделей используют такую систему вообще с 2002 года, то общее количество потенциально затронутых дефектом машин уже исчисляется, по самым грубым прикидкам, восьмизначными цифрами.
Пока что Toyota пробует относительно простые решения проблемы, вызывающей неуправляемое ускорение, — вроде установки дополнительной прокладки для педали газа, что, по приблизительным подсчетам, стоит копейки. Если же будет найдена проблема в электронике, дело может не ограничиться относительно дешевой «перепрошивкой» кода. Для исправления ситуации могут понадобиться новые микропроцессоры или новые модули управления двигателем, что может обойтись гораздо дороже — даже без учета стоимости работ по замене электронных деталей.
По прикидкам Майкла Печта (Michael Pecht), директора лаборатории надежности электроники в Мэрилендском университете, общая стоимость подобного ремонта может составлять свыше 100 долларов на машину. Таким образом, перемножив эту цифру на число проданных автомобилей, вполне можно понять, что в настойчивости автопроизводителей, отрицающих дефекты в своей электронике, определенно имеется смысл.
Требуются стандарты
Не удивительно, что эксперты по автомобильной безопасности все чаще начинают задаваться резонными вопросами: а не пора ли на автомобильную электронику — ту самую, что повсеместно принято хвалить за прогресс в безопасном автотранспорте, — обратить внимание со стороны государственных регулирующих органов? Дабы, что называется, целенаправленно минимизировать риски от не уменьшающихся компьютерных дефектов и связанных с ними бед.
Например, Кларенс Дитлоу (Clarence Ditlow), исполнительный директор американского Центра автомобильной безопасности, отмечает, что федеральное правительство США пока что не сделало ничего для установления промышленных стандартов на то, каким образом должны функционировать электронные устройства в автомобилях: «Нам сейчас нужны четкие нормативы относительно того, что электроника может делать, что — нет, и каков должен быть уровень ее надежности».
Для тех, кто следит за динамичной картиной компьютеризации автомобилей, вовсе не явилось сюрпризом, что проблемы с электронным управлением машин заметно нарастают. Да и как может быть иначе, если новые технологии теперь распространены повсеместно! За последнее десятилетие электронные системы управления — в большинстве своем построенные на основе чипов-микроконтроллеров — стали базовым инструментарием в общей системе функционирования машины: от двигателя, трансмиссии, рулевого управления и круиз-контроля до воздушных подушек безопасности, противоугонной сигнализации, климатической установки, управления дворниками и фарами и, наконец, систем предотвращения столкновений.
В наиболее дорогих автомобилях класса high-end ныне уже почти половина цены машины складывается из ее электронных компонентов. Причем процесс этот неуклонно движется лишь в одном направлении — к увеличению в общей стоимости доли электроники. Так, во всяком случае, свидетельствует Моше Гаврилов (Moshe Gavrielov), исполнительный директор компании Xilinx, массово поставляющей чипы с перепрограммируемой логикой в самые разные отрасли, включая и автомобильную индустрию. Здесь эти чипы помогают водителям парковать машины, управляют бортовыми мультимедиа-системами и выполняют множество других, самых разных функций. По мнению Гаврилова, в столь быстром превращении автомобилей из обычных транспортных средств в сложные самодвижущиеся компьютеры есть что-то «совершенно феноменальное».
Заметим: очень немногие считают, что это плохо. Скорее, наоборот, эксперты зачастую настаивают, что мощно компьютеризированная начинка автомобилей делает значительно больше хорошего, нежели дурного!
Однако нельзя отрицать, что насыщенный микропроцессорами автомобиль непременно имеет и оборотную сторону: теперь диагностика потенциальных угроз безопасности, которую несут в себе подверженные «глюкам» электронные гаджеты, может быть чрезвычайно сложной. Особенно если речь идет об опасных дефектах из разряда «блуждающих», то есть возникающих нерегулярно и при не очень ясных обстоятельствах. В подобных ситуациях «глюк» необходимо засечь именно в момент проявления, поскольку в противном случае внести исправления просто невозможно.
Упоминавшееся в самом начале выступление Стива Возняка — о его личных проблемах с «Приусом» — содержит в себе один весьма принципиальный момент. В своей речи он не только подчеркнул, что убежден в компьютерном происхождении дефекта, вызывающего самопроизвольное ускорение машины, но и выразил уверенность, что способен воспроизвести этот сбой сколь угодно большое количество раз.
Стив Возняк — это, без всяких преувеличений, один из самых известных специалистов в мировой компьютерной индустрии. И вряд ли автомобильной корпорации, попавшей в откровенно непростую ситуацию из-за технических проблем в своей продукции, стоило игнорировать столь прямое предложение о помощи в поисках причин беды. Однако Toyota поступила именно так — сделав вид, будто авторитетного свидетельства Возняка не было вовсе.
Факт этот не может не вызывать сожаления, поскольку очевидный ныне процесс тесного слияния компьютерной и автомобильной индустрий в аспектах безопасности вызывает справедливые нарекания. С одной стороны, без всяких натяжек можно говорить, что весьма популярная в мире информационных технологий идея о «всепроникающем компьютинге», незаметно для глаза охватывающем все стороны жизни человека, в своем реальном и наиболее завершенном виде находит воплощение именно в автомобилях. С другой же стороны, одна из серьезнейших проблем кроется в том, что автомобильная индустрия не очень сильна в деле интеграции программного обеспечения от множества разных разработчиков.
Хуже того, большинство электронных узлов в своих машинах ревнивые автоизготовители трактуют как «черные ящики», недоступные для внешнего анализа и ремонта. В итоге вся компьютерная начинка автомобиля становится одним большим «черным ящиком» — не только для водителя, но и для множества авторемонтных мастерских, не имеющих статуса «фирменного сервиса».
Вот почему владельцы современных автомобилей с продвинутой автоматикой и понятия не имеют, что и как работает в электронных схемах, управляющих принципиально важными подсистемами транспортного средства. Но при этом именно водителям на собственном опыте приходится испытывать, к сколь серьезным последствиям приводят излишне поспешные шаги по сведению в единую систему множества узлов, влияющих друг на друга пока еще не очень понятным образом. Потому что на этапе разработки и тестирования самобеглого продукта, имеющего в своей бортовой электронике уже около 100 миллионов строк кода, выявить все «баги» программно-аппаратной части невозможно в принципе. А срок создания новой модели автомобиля, по свидетельству знающих людей, при этом ужался с привычных когда-то пяти лет до всего лишь 15 месяцев.
Нельзя сказать, будто в автомобильной индустрии недооценивают первостепенную важность безопасности при интеграции множества компьютерных систем. Или — неверно оценивают риски, которые несут с собой чересчур поспешные шаги по массовому внедрению продвинутой электроники в автомобили. Все это в автоконцернах прекрасно понимают. Однако очевидные преимущества на избранном пути столь велики, что практически все — как инсайдеры индустрии, так и внешние аналитики — единодушно сходятся в одном: общий процесс развития и дальше будет идти только в одном направлении, по пути ко все большему насыщению автомобилей микропроцессорами и автоматикой. При этом важнейшей целью нередко провозглашается именно безопасность.
Все статистические данные свидетельствуют, что внедрение компьютеров в целом снижает количество и тяжесть последствий при автомобильных авариях. (Один комментатор с иронией пояснил эту ситуацию: «Меня, конечно, нервирует, что моей машиной управляет компьютер, но я очень доволен, что он управляет вашими машинами».) Что же касается автомобилей с «классической» конструкцией на основе механических подсистем, то и у них, скорее всего, останется на рынке своя ниша. Примерно такая же, как у проигрывателей виниловых пластинок или фотоаппаратов с целлулоидной пленкой.

Где кнопка?
В современном автомобиле практически любая подсистема, управляемая или сопровождаемая электроникой, может быть перепрограммирована. Для большинства подобных машин это означает, что в принципе можно изменять характер реакции двигателя на нажатие педали газа, легкость поворотов рулевого колеса, жесткость тормозной системы, особенности климат-контроля или даже тональность урчания мотора