[转帖]Toyota电子油门控制的安全问题

ubuntuhk

感觉比较恐怖：

From: http://www.huaren.us/dispbbs.asp ... d=698679&page=1

Toyota的油门问题很有些历史,但是直到最近才爆发,Toyota火速提出补丁,号称一个弹簧就可以解决. 真是这样吗? 看看历史吧.


Toyota的油门问题是从他把油门设计改成 Fly-by-Wire ETC开始就埋下隐患.

当年Toyota把 Fly-by-Wire ETC推进市场的时候, 就有很多人对它的安全问题表示担心.


所谓ETC, 就是 Electronic Throttle Control, 电子油门控制.

这是什么意思? 先从机械油门控制说起.机械油门控制,是通过一根线,就是自行车刹车线那种,从你的油门踏板连到发动机,油门开多大,全靠你自己控制, 如果这根线失效,你脚上也能立刻感觉到.



1988年,BMW第一个在7系车上推出了ETC系统,在这根机械连线周围加上了一些电子的玩意儿,后来其他车厂也见样学样, 纷纷加了ETC.

但是这些 ETC, 叫 Drive by Wire 是围着这跟线做文章, 油门踏板跟发动机的机械联系是一直存在的.



Toyota呢? 就领先了一步, 干脆把油门踏板跟发动机的机械联系给取消了, Toyota的油门踏板下面,现在是一个传感器的盒子,传感器把油门位置送给一个计算机, 然后计算机根据当前发动机运行情况,把传感器信号翻译成油门大小,这就是所谓的 Fly-by-Wire.



这样做当然是有好处的, 可以避免很多司机的技术问题或者驾驶习惯问题, 比如坡起给油不够造成死火之类的, 但是它最大的问题就是现在爆发的安全问题. 因为司机对油门的直接控制被偷油他取消了, 现在油门整个在偷油他的计算机手上了,计算机可以 overwrite 司机的油门指令,如果计算机认为应该加速,你把油门松了也没用.



换句话说, Toyota现在就跟微软差不多, 假定你是SB, 你想干什么, 他比你自己知道的更清楚.



原理说完了,那问题怎么解决呢?那要先看失效机制. ‘Fly-by-Wire’的失效机制大概可以分三类:



第一类是输入信号失效, 就是传感器送给计算机的信号错了, 司机本来没踩油门, 传感器说踩了. 这也是偷油他现在试图让人相信的失效机制,从一开始的把 MAT拿掉免得卡住油门到现在换个大点弹簧把油门顶起来,都是这个路子.为什么?因为这个最便宜,也最容易解决.



第二类是输出失效, 就是从计算机输出的电子信号到油门的控制机械这一块出的问题,如果这里出了问题,可以测,也可以重复,现在比较明确这一块没有问题.



第三类问题就比较要命了,就是计算机失效. 做过嵌入式系统的都知道, 最怕的问题就是程序跑飞, 一旦跑飞, 计算机就疯了,只能RESET. 这个大叔最有亲身体会了, 当年他的程序就老跑飞. 程序跑飞的特点是什么呢? 嘿嘿, 无法重复. 因为每次飞的地方都不一样,而且一旦重新启动,他就完全正常了.



现在知道的Toyota致死的案子,基本都表现出第三类失效的特征:



油门突然失去控制; 事后检查无法发现失效元件;

事故过程无法重复. 这个一点都不奇怪, 汽车上的环境对电子系统最不友好了, 高温,高震动,不稳定的电源,各种高压信号乱窜,程序跑飞正常,不跑飞就不正常了.



当然了, 大叔也有许多防止程序跑飞的招, 但是百密一疏, 总有人考虑不到的地方. 几百万辆车里面, 有几辆在某个特定情况下跑飞了,再正常不过了.



解决办法一个是恢复司机对油门的机械控制, 让司机可以overwrite计算机.



但是且不说Toyota有没有这么多钱,就算他有,以后还有人敢买他的车吗?


Toyota Recall: Experts Point To Electronic Throttles; Not Floor Mats In Sudden Acceleration Problem
http://kansascity.injuryboard.co ... spx?googleid=275138


Robert DeGraff, January 27, 2010

I recently purchased a new 2010 Camry and am a retired professional engineer with some experience in forensic engineering investigation and have experience in applying Tepner-Tregoe analysis to puzzling situations. You have to look at "what as changed" and "what is different" between test conditions and actual field conditions in variable and extreme situations such as the reports of sudden acceleration caused or allowed by the fly by wire throttle control.

The persistent but infrequent reports indicate that Toyota engineers have missed something in their testing. Although most inside engineers are resistant to suggestion from outsiders, I'll offer my comments and concerns for their review: there are several transient situations which electronic controlled vehicles must resist, commonly called EMI and RFI.



1) when you pass under, over or next to high power electric lines, not only is some energy imposed but a doppler effect can swing the frequency. Yes , some high power lines are under you, buried under the roadway such as the emergency feeders for O'Hare airport. How adequate is the EMI shielding for emissions from beneath? Some power lines are heavily loaded and emit stronger signals when they approach capacity or during surges just before and while their breakers trip.



2) cellphones, blackberies and wireless laptops also emit some strange and variable signals. I'm told that as a cellphone gets farther from its tower, it increases its power. At least 2 of the reports of apparent fly-by wire runaways mention the use of their cellphone during the incidents. Certainly these devices get very close to the car's computer(s).



3) there are stray emissions from CBs ham radios and other (sometimes illegal) broadcasting which may induce problems with RFI on computer controls. Many years ago, early computer controlled braking systems on IH trucks suffered wild scenarios until they were very thoroughly RF shielded. Could it be that some similar transients are affecting Toyota fly by wire throttle computer controls? I am not trying to be a wise guy; just offering some outside ideas for them to reconsider in their testing for the elusive cause of infrequent but terrifying runaways.

http://pressroom.toyota.com/pr/t ... w-post.aspx?id=2234

ingeer

看上去還是老車比較安全。。。。。

ubuntuhk

老车也有老化问题，看来有些东西是不能电子化的

stan

请问这种设计的车在故障的时候用刹车能否overwrite油门并让车停下来，是不是出事的车辆当时已经来不及刹车了？

前一段时间墨尔本有个人的Ford无法取消自动巡航，刹车、按键什么的能失灵的都失灵了，制动只能令车速下降到7、80。

汽车无法启动不可怕，可怕的是停不下来。

piztol

实在不行，行驶中关掉发动机行么

Bill_Fish

原帖由 piztol 于 5-2-2010 14:13 发表

                               
登录/注册后可看大图

实在不行，行驶中关掉发动机行么

关发动机那就是自杀，因为这个死的人也不少。还是手动档好，他在牛逼的电子油门，我一踩离合，或者挂到空挡，那就啥也不怕了。

kkmao2005

这样做当然是有好处的, 可以避免很多司机的技术问题或者驾驶习惯问题, 比如坡起给油不够造成死火之类的, 但是它最大的问题就是现在爆发的安全问题. 因为司机对油门的直接控制被偷油他取消了, 现在油门整个在偷油他的计算机手上了,计算机可以 overwrite 司机的油门指令,如果计算机认为应该加速,你把油门松了也没用.

---------------------------------------------------------------------------------------------------------------------

哈哈 确实如此
我早发现了
设定巡航以后
遇到上坡
它会自动加速
往往就造成超速
我就赶快踩刹车
原来毛病在这里

ubuntuhk

原帖由 Bill_Fish 于 5-2-2010 14:39 发表

                               
登录/注册后可看大图

关发动机那就是自杀，因为这个死的人也不少。还是手动档好，他在牛逼的电子油门，我一踩离合，或者挂到空挡，那就啥也不怕了。

空档在下坡的时候也很危险吧，空档+刹车在下坡的时候能停车吗？

MacroJ

浪沧孤客

原帖由 ubuntuhk 于 5-2-2010 15:08 发表

                               
登录/注册后可看大图

空档在下坡的时候也很危险吧，空档+刹车在下坡的时候能停车吗？

如果刹车足够强劲的话问题不大

Espresso

原帖由 Bill_Fish 于 5-2-2010 14:39 发表

                               
登录/注册后可看大图

关发动机那就是自杀，因为这个死的人也不少。还是手动档好，他在牛逼的电子油门，我一踩离合，或者挂到空挡，那就啥也不怕了。

自动档也有低档位的

Bill_Fish

原帖由 ubuntuhk 于 5-2-2010 15:08 发表

                               
登录/注册后可看大图

空档在下坡的时候也很危险吧，空档+刹车在下坡的时候能停车吗？

我是说电子油门出问题的情况下，空档刹车这种事我是决不会做的。中国很多大货车在高速出事不就是空档刹车失灵造成的吗，这基本常识咱还懂点。

Bill_Fish

原帖由 Espresso 于 5-2-2010 15:16 发表

                               
登录/注册后可看大图

自动档也有低档位的

电子油门失控了，你不在空档，啥档位都会影响你的正常行驶，不出事算运气好。我们不是讨论电子油门失控情况下的问题吗？

ubuntuhk

丰田认Prius煞车设计有问题
(明报)2010年2月5日星期五05:10
http://hk.news.yahoo.com/article/100204/4/ggle.html

【明报专讯】日本丰田汽车公司昨承认，其畅销环保车Prius的煞车系统设计有问题，丰田将在短期内宣布对应措施，暂未决定是否回收。丰田还透露，自去年秋季就收到经销商相关投诉，但没有蓄意隐瞒，只是「忙于清查原因并进行改善」。美国运输部则宣布，对Prius问题展开调查。

丰田质量控制部门经理横山裕行昨表示，Prius的问题出在「防锁死煞车系统」（ABS）上。 Prius采用混合动力，其ABS设计同样结合环保元素。当轻踩脚踏时，「再生制动」系统把动能转化为电能，并令汽车减速，但若用力踩脚踏，汽车则改用传统的液压煞车系统。横山表示，ABS由「再生制动」转换为「液压制动」时会出现延迟问题，「不过若你一直用力踩脚踏，车子就会安全停下来」。

去年已接投诉否认隐瞒

横山承认去年底已收到投诉，但否认丰田对问题视而不见。他表示，丰田已对ABS设计作出改善，1月底新出厂汽车没有问题，至于协助旧车主的方案则仍在研究，「不久就会公布」。他还透露，「SAI」和「凌志HS」等车型亦采用相同电子煞车系统，丰田正进行检修。

上季盈利131亿回收酿155亿损失

丰田昨同时公布上季业绩，盈利达1530亿日元（131亿港元），扭转对上一年同期的巨额亏蚀。有关数据未反映去年底以来回收行动的影响，丰田估计，回收将造成多达20亿美元（155亿港元）损失。不过，丰田仍看好新一财政年销情，预计可售出718万辆，仅比去年11月做的预期少22万。

另一方面，美国运输部长拉胡德（Ray LaHood）继续向丰田施压，他说会直接和丰田社长丰田章男接触。拉胡德周三在国会表示，拥有相关车型汽车的车主应「停止驾驶」，这番言论一度引起恐慌，导致丰田股价急跌8%。他随后澄清道，他的意思是若车主有疑虑，应与丰田经销商联系，尽快解决问题。

《华盛顿邮报》报道，美国监管机构早于2007年便发现部分丰田汽车有突然加速的问题，但当局与丰田均低估问题的严重性。美国知名消费者权益人士纳德（Ralph Nader）指出，丰田与美国高速公路安全局（NHTSA）要共同承担责任。纳德批评NHTSA 6次中止调查对丰田问题的投诉，未能严格履行监察职责。

法新社/路透社/美联社/纽约时报

SuperTime

日本人被美国人涮了
因为美国汽车公司难过，让你日本也好不了，这下谁还敢买日本车?

ubuntuhk

是有这个嫌疑，美国车正处于低谷，正愁怎么翻身呢，不过谁让你日本车有致命问题呢。

Manly

丰田固然有错，但是美国这次搞那么大，连交通部长都跳出来赤膊上阵，就不得不说背后绝对不是一个产品出现故障那么简单的事。就几年前，福特车轮胎全面回收，死了好多人，怎么没见他们大书特书？美国人的公关能力很强，媒体造舆论技巧也比我党喉舌搞多了，但是不代表他们不跟我党做同样的舆论引导。

whoami

原帖由 Espresso 于 5-2-2010 15:16 发表

                               
登录/注册后可看大图

自动档也有低档位的

自动挡更容易，档杆往前推一格，直接进N档，不用按排挡上的按钮就能推动，并且不按钮往前推也不会误操作推到R或D档，我就不信自动挡的车档位在N档还能继续加速

seth_chen

原帖由 Bill_Fish 于 5-2-2010 14:39 发表

                               
登录/注册后可看大图

关发动机那就是自杀，因为这个死的人也不少。还是手动档好，他在牛逼的电子油门，我一踩离合，或者挂到空挡，那就啥也不怕了。

高速的时候你是踩不动离合的，这是常识...
没开过手动吧

Espresso

原帖由 Bill_Fish 于 5-2-2010 15:46 发表

                               
登录/注册后可看大图

我是说电子油门出问题的情况下，空档刹车这种事我是决不会做的。中国很多大货车在高速出事不就是空档刹车失灵造成的吗，这基本常识咱还懂点。

试过普通车1档5000转么？
能跑多少？
哪个让你刹车、油门出问题时挂空档了，那不是找死么？
让你挂最低档.............

四香油饼

原帖由 seth_chen 于 5-2-2010 17:15 发表

                               
登录/注册后可看大图

高速的时候你是踩不动离合的，这是常识...
没开过手动吧

这个俺怎么不知道？能解释一下吗？开了10多年手动车了，从来没听说过这个说法。

行驶过程中关发动机应该是可以的。因为我这么做过，行驶中关闭发动机，不会让车停下，只是和收了油门是一样的。但应该可以让电子油门失效了。

那个前一阵墨尔本巡航失效的，如果他知道把发动机关了，就不会有这种事情了。不过新闻说他那个车不停不能关点火，我不知道是不是真的有这种车。刹车的力量远比发动机大得多，尤其是高速档上，我很怀疑那件事情的真实性。

pzhero

这次问题不是电子油门什么失控的问题。而是踏板的机械设计上存在缺陷。导致油门被卡死，弹不上来。与电子无关。实际上这个踏板中装上两个位置传感器，就是为了相互校验，防止出错时给电脑错误的信号。而且这两个传感器的信号变化方向还是相反的。（一个以电压上升代表踏板被踩下，另一个则以电压下降代表踏板被踩下）。当两个信号发生矛盾连电脑也无法判哪个正确时，电脑会点亮故障灯，发动机转速自动调整到1000RPM左右。这时你就是把踏板踩到底也没用。还有就是当电脑检测到有危机发动机或变速箱的重大故障时，也会采用这种模式工时。比如水温很高了，机油压力很低了，等等这些情况。如果没有这种设计，有些人会把车开到自动熄火为止，然后去报废。

ubuntuhk

你可以仔细看看网上的评论，很多人反映实质上不是脚踏板的问题，而是电子油门受到干扰（比如近距离手机等无线电信号等）而导致油门不受控制地突然加速的问题：

http://pressroom.toyota.com/pr/t ... w-post.aspx?id=2234

Gary Luis, February 02, 2010
The problem is not the pedal but the electronics. The car accelerates on its own so it can't be the pedal. Fixing the pedal with a reinforced bar won't solve the problem as the problem has been stated over and over that the car accelerates on it's own. This is due to the Japanese copying the European's on this. And they need to take a clue from Audi who had that problem with their vehicles a few years ago. They solved it somehow and it wasn't the pedal.
Leave a reply

Robert P, February 03, 2010
A clue from Audi? Gary, please. You're right, it wasn't the pedal. It wasn't anything. The case for unintentional acceleration on the Audi 5000 was, in the words of most, a debacle, fabricated and later apologized for by CBS' 60 Minutes. It nearly killed the brand. While what occurred here is certainly tragic, floor mats and accelerator pedals have been having occasional conflicts as long as they have coexisted. Simple solutions, provided by decent driver training in handling emergency situations, would obviate the need for this massive recall. Typical over reaction prompted by the dumbed down driving populace who haven't a clue to what power is wielded each time the ignition of a car is turned on. Now there's a solution to the problem! Turn it off, acceleration ceases. I fear too many would rather live in a world of bloated cars with unnecessary features that provide "safety" in exchange for driver control. Thankfully the aviation industry isn't doing the same or no aircraft would be able to get off the ground. Train and if you're not qualified, restrain.

piztol

原帖由 Bill_Fish 于 5-2-2010 14:39 发表

                               
登录/注册后可看大图

关发动机那就是自杀，因为这个死的人也不少。还是手动档好，他在牛逼的电子油门，我一踩离合，或者挂到空挡，那就啥也不怕了。

能说一下为什么关发动机就是自杀么？以前学车时候，开手动车，经常开着开车熄火了，也没什么啊？
难道自动挡不一样？

心如止水

原帖由 四香油饼 于 5-2-2010 19:00 发表

                               
登录/注册后可看大图

这个俺怎么不知道？能解释一下吗？开了10多年手动车了，从来没听说过这个说法。

行驶过程中关发动机应该是可以的。因为我这么做过，行驶中关闭发动机，不会让车停下，只是和收了油门是一样的。但应该可以让电 ...

更正，相见32楼

[ 本帖最后由 心如止水 于 6-2-2010 23:21 编辑 ]

omom7

我是汽车工程师，对ETC极其熟悉。看得出来，原作者对ETC以及汽车发动机电控不是很了解，存在许多想当然

1.但凡ETC（有的公司喜欢牛b哄哄的称之为drive by wire）,节气门与踏板之间就是取消了机械拉线的，这里所谓的drive by wire的wire是指电线，而不是机械拉线。
2.drive by wire这个概念来自于你文中提到的fly by wire。后者是发端于50年代的飞机电传飞控系统，或称线传操纵。
3.在ETC技术上，toyota并没有如你所说“领先一步”。ETC不是它家的发明。TOYOTA的发动机管理系统并不特别高明，相反，它的系统安全策略比欧美公司的要简单
4.ETC相对机械拉线节气门，带来的潜在好处是多方面的：驾驶性、油耗、排放、催化器保护等等
5.ETC由于采用电动的节气门，节气门开度由发动机电脑（ECU）综合考虑各种因素之后决定，因而引发了对安全性的担忧。因此，同飞机上的fly by wire类似，它充分考虑了系统冗余：油门踏板传感器最少有2个，有些有3个；节气门位置传感器有2个；增加一个监控CPU；看门狗有两个，甚至软件计算都有冗余。 采用ETC的发动机管理系统，其ECU必须具备软件和硬件的自诊断功能。举个例子，ECU需要对每一个通用寄存器进行在线诊断。任何部件或系统的失效都会被纳入一个复杂的决策环节，以决定当前系统的工作模式,轻度或中度失效时系统进入降级模式（limp home），严重失效时系统禁止发动机运行。所有这些措施，保证了系统的functional safety。
6.汽车上的电子部件特别是发动机ECU都有严格的validation标准，对环境耐受（温度、湿度、盐雾、尘埃、油液）、机械冲击、电磁兼容有极其严格的考核指标和方法。像你所说的“软件不跑飞都不正常”坦率的说是荒谬的。如果是那样的话，每天都会有无数的人死于汽车的电子故障

[ 本帖最后由 omom7 于 5-2-2010 23:15 编辑 ]

omom7

原帖由 ingeer 于 5-2-2010 09:04 发表

                               
登录/注册后可看大图

看上去還是老車比較安全。。。。。

机械节气门拉线卡住的案例也是有的。

omom7

原帖由 stan 于 5-2-2010 14:08 发表

                               
登录/注册后可看大图

请问这种设计的车在故障的时候用刹车能否overwrite油门并让车停下来，是不是出事的车辆当时已经来不及刹车了？

前一段时间墨尔本有个人的Ford无法取消自动巡航，刹车、按键什么的能失灵的都失灵了，制动只能令车速 ...

显然丰田的系统不具备brake override功能
也不是来不及刹车，而是发动机在大负荷运转时进气歧管的压力较高，已经接近大气压。因而真空度不足以提供足够的制动助力。而且，发动机全力输出时的动力很大，缺乏助力的制动根本无法与之抗衡，相反由于过热很快失效。

omom7

原帖由 Bill_Fish 于 5-2-2010 14:39 发表

                               
登录/注册后可看大图

关发动机那就是自杀，因为这个死的人也不少。还是手动档好，他在牛逼的电子油门，我一踩离合，或者挂到空挡，那就啥也不怕了。

在丰田这种案例中，关发动机是在无法挂入空档时的最佳方案。只要不拔出钥匙，方向仍然是可控的，并且在高速下无助力的车开起来一点不困难。对于刹车，此时由于发动机被车轮倒拖转动，反而能在进气歧管产生一定的真空，进而产生制动助力

omom7

原帖由 seth_chen 于 5-2-2010 17:15 发表

                               
登录/注册后可看大图

高速的时候你是踩不动离合的，这是常识...
没开过手动吧

这个“常识”太让我吃惊了跟汽车打了这么多年交道都没听说过。。。