Leder: Toyotasagen: Et lærestykke i funktionel sikkerhed
På overfladen ligner Toyotas grimme oplevelser i USA en bilfabrikant, som er kommet i modvind efter at have glemt sit eget kvalitetsmantra.
Toyota har været frontløber for Lean-begrebet og for principper som Genchi Genbutsu - om at gå hen, hvor problemet er, for at forstå det og finde løsninger. Toyota har været en af verdens økonomisk set mest veldrevne virksomheder med en rekordlang række af positive regnskaber.
Men billedet er skiftet på bare et halvt år. Først var der en Lexus, som løb løbsk og sørgeligt slog en familie ihjel. Derefter en længere række af episoder med løbske biler. Så en noget lokalpatriotisk præget høring i det amerikanske senat, hvorunder kritikere påviste, at Toyotas biler har designproblemer i den elektroniske speeder. Og nu har advokatfirmaer og forbrugerorganisationer med helt deres egne interesser lugtet blod.
Skræller man disse slagsmål af, kommer man imidlertid ind til en teknologisk mere væsentlig kerne: Digitaliseringen af bilerne og drive-by-wire. I hundrede år har man styret motorernes ydelse med simple mekaniske stang- eller kabeltræk og en fjeder på karburatoren. Falder stangen af, lukker fjederen for gassen - og der er ikke mange eksempler på, at det er gået galt. Sandsynligheden for fejl er ekstremt lille.
Det seneste tiår er mekanik imidlertid under udskiftning med sensorer i speederpedalen, en servo på motorens lufttilførsel, ledninger og en styrecomputer for at raffinere bilens køredynamik og miljøbelastning. I elbiler er skiftet helt nødvendigt. Derved har man øget udfaldsrummet for fejl med populært sagt n dimensioner, og man er ude i raffineret kombinatorik, når man skal redegøre for alle de situationer, softwaren skal opfange og reagere korrekt på. Der stilles helt andre krav til produktdesignet, end blot at softwaren fungerer i normale situationer.
Præcis samme sted har flyindustrien været. I en lang periode var Airbus alene om fly-by-wire og først for relativt nylig kom Boeing med. Og på jernbaneområdet har man forladt hundrede års tradition om simple fjederbelastede relæer, som går på 'rød', når strømmen svigter. Derfor blev styringen til Københavns metro udsat for en helt usædvanlig streng test - rå mishandling gennem såkaldt fault injection med 50.000 påførte fejlsignaler - før den fik sin velsignelse.
I alle disse systemer, som der kun bliver flere af, skal der være relevante og sikre nødstop. Der skal være 'funktionel sikkerhed'. Skal man designe funktionel sikkerhed, som kan evalueres, bliver processen nødt til at følge en standard. På industriområdet har der i ca. ti år ligget en standard, IEC 61508, mens bilområdet endnu ikke har modnet sin.
Danmark har kun spinkel bilindustri og ingen på bilsikkerheds-elektronik, så Toyotasagen er mest direkte relevant for forbrugerne. Men kigger man videre end til bildomænet, så er det iøjnefaldende, at skiftet til elektroniske styringer med software sker hele vejen rundt. Da der er liv og lemmer på spil, fordrer situationen en helt anden kritisk bevågenhed og informativ opmærksomhed fra myndighederne.
