聪明反被聪明误？嵌入式设计专家谈丰田电控油门事件

随着电脑技术的发展，越来越多的汽车厂商也开始考虑为自己的产品加入电脑控制系统，不过由于目前的电脑技术和软件技术还远没有发展到能完全可靠安全地控制 车辆的地步，因此由此引发了人们对电控系统安全方面的担忧。不久前发生的油门控制失灵事件便是一个很好的例证，尽管官方表示这次故障是由于“油门 踏板卡死”所致，但不少业内人士则指出电控油门系统的软件故障才是真正的罪魁祸首，本文的作者Dean Psiropoulos是霍尼韦尔航空公司( Aerospace)的嵌入式软件工程师，以下便让我们一起来看看这位嵌入式软件专家对这次事件的看法吧。

身为一名长期从事嵌入式软件开发的工程师，我对最近发生的车油门踏板故障事件自然非常关心，我很想知道电脑控制的油门系统是不是这次发生故障事件的罪魁祸首。

半个世纪以来，我也开过不少车，我的第一部汽车就是完全没有配备任何电脑设备的车子，当时这部车的点火系统使用的还是老式的电容式分电器。我的第二部车子则装备了通用公司的HEI电子点火系统，尽管我当时对这种点火系统还不是很信任，但后来的实际使用情况证明这套系统是相当耐用的，长期使用下来没有任何部件需要更换。

我的第三部车子则仍是一部使用化油器的车子，车子的厂商为了降低车辆的排放和提高发动机的效率，在车子上安装了初级发动机电控系统(ECC)。这套ECC使用各种来实时搜集发动机的工作状况，然后再根据发动机的工况来控制电磁针阀，以便起到调节燃油和空气的混合比的作用。万一ECC出现故障，系统还会进入跛行模式，将这些控制针阀全部打开，这种跛行模式以现在的眼光看来当然是很初级的。

不过，我开着这部车跑了10万英里左右，ECC系统只有一次出故障进入跛行模式，在跛行模式下，车子的动力性和燃油经济性会大幅下降，不过至少还能开动，而且当我停车关闭发动机并重启之后，故障现象便自行消失了。

我的第四部车子则装备了电喷系统和ECC控制系统，这种车子的燃油经济性更好，而且冷启动性能也更好(而且油门是用机械式机构驱动的)。这部车我开了18万英里，ECC的表现一直很完美，不过去年这部车的电控系统出了点问题，所以我便把这部车卖掉了。这是一部1992年款的车型，它只装备了ECC电控系统，并没有装防抱死制动系统或者其它需要电脑控制的系统。

到了最近，我买了一部2008款野马GT( GT)，也就是从那时开始，我便正式与所谓的“全电脑控制车型”结缘。不过，对我这样一位长期从事软件安全可靠性分析的工程师来说，我真的很不喜欢这种所谓的“全电脑控制”设计。我觉得汽车公司往车型中加入过多嵌入式电脑控制系统的作法实在是有点太过火了。

为什么一定要用电脑来控制那些一直以来都是由模拟信号，或手动操纵控制的仪表板，暖通系统，车窗以及门锁这些早在电脑诞生之前就存在的车内系统呢?

最愚蠢的莫过于新款野马车型上的电动窗控制系统设计了，在我的车上，当你打开门的时候，电脑会控制电动窗自动往下降1/4英寸，这样车门才能保持在全开的状态，然后在你把车门关上时电脑再控制电动窗升起到原位。我很理解的苦衷，不过我记得早在电脑诞生以前，有的车型上就已经实现了无窗框式的车窗设计，而且这些车的门窗密封性也很好，那么何必非要费这么大的劲来设计这些吃力不讨好的“电脑控制”的玩意?

虽然我很喜欢野马车的其它设计，但是类似这部车上电动窗这一类的设计让我非常头大，这些功能设计显然很容易出故障，这样如果我想长时间使用这部车，就得花一大笔钱来经常维修这些故障。

在我看来，汽车上有三种系统最好是不要由电脑来控制：油门控制系统，转向系统和制动系统。

电控油门系统方面，我身边就有一个现成的反面教员：我的老板有一部梅赛德斯CLK230敞篷跑车，一天晚上，他下班后发动了这部车子，不过当他挂上档位后(这是一部自动档车)，车子的油门忽然就处于全开状态，整部车子就这样向前猛冲了15英尺，然后发动机就趴了窝，只能打电话找拖车。万幸的是当时周围没什么行人，否则后果不堪设想。事件的最终结果是，车修好后我的老板很快便把那部车卖掉了。

而电控转向和电控制动系统恐怕也有类似的隐患，我想现在的电脑和软件技术还没有高明到能安全可靠地控制车辆行驶的地步，这样万一发生故障，哪怕是只有十亿分之一的几率，其造成的后果都是不堪设想的。

所幸现在的防抱死制动系统还只是一种辅助控制设计，主要的控制还是需要靠司机踩下制动踏板来实现。不过按照现在这种趋势发展下去，很难说哪一天会不会有某家头脑发热的厂商会推出真正的全电控制动系统，我劝你还是离这样的车子远一点为好。