motorbloggen

Så læg da Windows i min bil

Vi har hørt det så mange gange før: den og den bilproducent tilbagekalder X antal mio. biler fordi en kopholder sidder løs og føreren derfor kan risikere at få spildt varm kaffe på låret under kørsel. Det er vigtige fejl og de skal rettes.

Men i denne omgang er det Toyota, som jo nok kender til det med at hente biler ind på værkstedet til en grundig gennemgang, som har bedt om at få 1,9 mio. Prius’er til nærmere undersøgelse.

Der er dog ikke tale om mekanik eller elektronik, men derimod om software. Risikoen er angiveligt, at en softwarefejl får bilerne til at lukke ned under kørsel. Ikke sådan lige pludseligt, men den vil køre langsommere og langsommere for til sidst helt at stoppe mens en masse advarselslys blinker. Nå, men der ifølge Toyota en reel risiko for at noget kan gå i stykker fordi softwaren er sat forkert.

Vi er altså kommet dertil, at det ikke længere er en mandagstræt bilarbejder på en fabrik i Ingolstadt, Paris, Detroit eller Toyota City, som afgører om vi har fået en mandagsbil, men en programmør, der kan sidde hvor som helst - måske Indien.

Til det er der kun at sige: lad os da få Windows i bilerne - så kan jeg rette fejlen selv og det ved jeg nogenlunde, hvordan jeg genstarter... Ctrl-Alt-Delete.

Eller endnu smartere: En Tesla er så vidt jeg ved altid online, og programopdateringen kan foregå, mens den lader op.

Og så er Motorbloggen forøvrigt kommet på Twitter. Følg os på:

https://twitter.com/motorbloggen

Journalist og ingeniør. Har skrevet om teknologi og produktion siden 2001 og tidligere arbejdet med planlægning i energisektoren. Har især fokus på Industri 4.0, robotter, 3D-print, transportmidler, energisystemer og anden ny teknologi.
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Til det er der kun at sige: lad os da få Windows i bilerne - så kan jeg rette fejlen selv og det ved jeg nogenlunde, hvordan jeg genstarter... Ctrl-Alt-Delete

Fordi brugere selv let kan rette fejl i et closed-source, ikke-realtids operativsystem? Selv ville jeg gerne undgå at engine management går ned på Autobahn, p.g.a. en dårlig programmeret driver, eller at garbage collection blokerer visker/sprinklerfunktionen de næste to minutter.

Forøvrigt er det bemærkelsesværdigt at automotive-verdenen har adopteret en meget rigid waterfall model til softwareudvikling (Automotive SPICE), hvor agil udvikling ikke ser ud til at passe specielt godt ind. Der findes masser af eksempler fra andre sektorer, hvor den slags faktisk fremprovokerer flere fejl og forsinkelser.

  • 9
  • 1

... windows på skærmen i cockpittet på en ruteflyver, vil jeg enten kræve at blive sat af, eller få en faldskærm udleveret :o)

"Så leeeeeeet dog...."

.... "are you sure?"....

  • 7
  • 2

Det sidste jeg kunne drømme om i en bil, var at sikkerhedsudstyr så motor, styrtøj og bremser var afhængig af elektriske signaler.

Og så lige Windows, nej tak. "I tilfælde af problemer: luk alle vinduer og åben dem igen."

Mekanisk forbindelse til styrtøjet er altså et must. En servo går nok at tilføje, selv om det sikreste er uden.

  • 7
  • 1

"Risikoen er angiveligt, at en softwarefejl får bilerne til at lukke ned under kørsel. Ikke sådan lige pludseligt, men den vil køre langsommere og langsommere for til sidst helt at stoppe mens en masse advarselslys blinker."

Ja det kan jeg godt se vil blive bedre når Windows pludselig mener bilen skal sættes i bakgear mens du kører 130 på autobahnen!

Jeg håber dit oplæg var ment ironisk, for Windows har intet at gøre i embeddede systemer, og som Lars Juul siger, så er det lukket - jeg tvivler på at Toyota vil begynde at bruge komplette forhjulsophæng, inklusive bremser, alt sammen inde i en farvestrålende kasse, hvor Toyota bare skal stole på producentens ord om at dimsen vitterlig kan bremse og styre.

  • 7
  • 1

Mekanisk forbindelse til styrtøjet er altså et must. En servo går nok at tilføje, selv om det sikreste er uden.

Selv om servoen går i stykker, så kan man stadig styre, omend styretøjet er trægere.

Og hvis en slange til bremsekraftforstærkeren knækker, så kan man stadig bremse, omend man skal trykke hårdere på pedalen.

Hvis en sensor til ABSen går i stykker, kan man stadig bremse, men uden antiblokering.

Etc, etc.

  • 5
  • 0

Det er nok 10-11 år siden jeg hørte om nogen af de større mercedes modeller (mener jeg) hvor klima-anlæget gik amok. Løsningen var at holde ind til siden (optional) , tage nøglen af (mandatory) og starte igen. Så virkede det igen.

  • 3
  • 0

Windows er nok så langt fra et sikkerhedsoperativsystem, som man næsten kan komme.

Risikoen er angiveligt, at en softwarefejl får bilerne til at lukke ned under kørsel. Ikke sådan lige pludseligt, men den vil køre langsommere og langsommere for til sidst helt at stoppe mens en masse advarselslys blinker.

Hvad gør Toyota her? Når de konstaterer en fejl, gør de alt for at begrænse skaden så meget som muligt. De reducerer stille og roligt hastigheden og tænder alle advarselslamper, så bilisten kan nå at holde ind til siden uden nogen skader. Stor ros til Toyota. Ingen kan gardere sig 100% mod softwarefejl; men det er rigtig god programmering, at der sker noget hensigtsmæssigt selv i tilfælde af uforudsete fejl.

I Windows skal man være heldig for i det hele taget at få en fejlmeddelelse og endnu mere heldig, hvis det ikke er en "Unknown Error". I begge tilfælde kommer meddelelsen "naturligvis" kun, hvis Windows ikke har for travlt, for WM_PAINT beskeder nedprioriteres, og man kan dermed risikere at mister kontrollen med systemet. Det er til gengæld rigtig dårlig programmering.

Sæt dig ind i din bil og drej tændingsnøglen. Alle bilens mange computersystemer starter på millisekunder og er f.eks. straks klar til at styre brændstofindsprøjtningen cylinder for cylinder. Kommer du ud for et uheld, har airbag computeren maksimalt 1-2 ms til at finde ud af, om airbaggen skal udløses, og gøres det ikke rigtigt eller for sent, er du måske død! Hvor lang tid tog det dig egentlig at starte din Windows PC her til morgen?

  • 11
  • 1

Der findes skam en særlig Windows Embedded Automotive, som blandt andet bruges af Ford og Fiat til navigation og underholdning. Om Ford så bruger Windows til at styre motoren i deres hybridmodeller ved jeg ikke, men mon ikke, det højst bliver brugt til den visuelle del, der er rettet mod føreren.

  • 0
  • 0

Jeg kan godt se, at min lettere ironi ikke var tydelig nok.

Selvfølgelig kan man ikke bruge Windows i en bil. Min pointe var, at hellere sidde med noget man kan gøre noget ved, end blot kigge på en sort skærm.

Det er jo ikke nogen nyhed, at biler længe har været rullende softwareplatforme og inde længe også wifi-hotspots.

Det vi ser er blot det, som al software bliver udsat for: nedbrud, genstart, opdateringer, hacking, virus osv.

  • 1
  • 0

Selvfølgelig kan man ikke bruge Windows i en bil. Min pointe var, at hellere sidde med noget man kan gøre noget ved, end blot kigge på en sort skærm.

Du kommer aldrig nogensinde til selv at kunne gøre noget som helst ved noget, der bare har det mindste med sikkerhed eller bilens primære funktion at gøre.

Dilemmaet er velkendt. Brugeren vil gerne kunne gå ind og lave ændringer og ser ingen problemer i det; men producenten gør alt for at begrænse muligheden til aller højest at omfatte nogle ganske få funktioner via et velkendt grænsesnit, så man har helt styr over, at der ikke kan gøres noget forkert. Det er et problem i bl.a. husautomation. F.eks. har Danfoss deres egen proprietære Z-wave protokol, som ikke kan snakke med andre Z-wave systemer, LK/Schneider deres egen IHC protokol etc. etc. Ingen tør lukke op, for det begrænser muligheden for senere at lave ændringer, og hvor ligger ansvaret, hvis noget ikke virker, går i stykker eller måske oven i købet forvolder personskade? Én ting er sikkert. Stikket til Raspberry Pi'en eller Arduinoen ryger lynhurtigt ud, og så var det ikke mig :-) Derfor er der behov for nye, meget simplere løsninger, hvor der ikke kan gøres noget galt, og hvor der derfor kan lukkes op, uden at risikoen bliver for stor (jeg arbejder p.t. med den slags).

  • 1
  • 1

jeg tror langt de fleste forstår din ironi...

Der er faktisk noget der hedder "Windows Automotive" og de siger selv det er "targeted industrial controllers" Jeg vil da tro det er mindst lige så robust som android eller linux - eller mangel på samme ...

Måske en ide med en artikelserie hvad der afvikler

  • motorstyring
  • abs/esp
  • steer by wire
  • infotainment
  • osv

og ikke kun i en stjernebil til 2.5mio kr

  • 0
  • 1

Sikke en gang eklatant vrøvl. Fordi man tilføjer en servo (elektrisk eller ej), så bliver systemet ikke mindre "sikkert".

Selvfølgelig indføres en sikkerhedsrisiko, når man forbinder en servomotor, som i princippet kan styre bilen et vilkårligt sted hen med langt større kraft end muligt via rattet. Derfor skal den slags systemer leve op til det højeste sikkerhedsniveau, det er muligt at opnå med software, hvilket svarer til IEC 61508 SIL 3 (død af 1-3 personer). Prøv f.eks. at se TI's 3-chips Herkules eksempel på netop servostyring til biler.

Problemet er bare, at uden servo skal styretøjet geares så lavt, at de færreste kan nå at styre kontra, hvis bilen begynder at skride, så servoen gør nok totalt set bilen mere sikker og ialtfald mere behagelig at køre i.

  • 3
  • 1

Problemet er bare, at uden servo skal styretøjet geares så lavt, at de færreste kan nå at styre kontra, hvis bilen begynder at skride, så servoen gør nok totalt set bilen mere sikker og ialtfald mere behagelig at køre i.

Lidt interessant aspekt.

Der har været en del ulykker hvor folk har fået højre forhjul ud i rabatten, og af befippelse har trukket rattet kraftigt til venstre, hvorefter bilen har fået vejgreb igen, for efterfølgende at styre voldsomt til venstre, nogen gange med fatale følger.

Ville en sådan situation have været undgået hvis bilen ikke havde servo (der er ingen statistik svjv. at forholde sig til, så om hvorvidt der har været servo i bilerne i den type ulykker eller ej vides nok næppe)?

  • 0
  • 0

Jeg er også uenig i dette:

"Eller endnu smartere: En Tesla er så vidt jeg ved altid online, og programopdateringen kan foregå, mens den lader op."

Ja, Tesla (model S) sender løbende sin position til google, som så fodrer den med navigationsdata (google maps) for området.

Jeg ser det som en stor ulempe at køre i en bil, der fortæller et firma som google (og dermed myndigheder i USA) hvor jeg kører. Af samme grund går jeg langt uden om google-telefonen.

  • 1
  • 1

Jeg tror nøgleordet her er 'befippelse'..

Det er jeg godt klar over, men spørgsmålet er om de ekstra kræfter servoen giver 'befippelsen' er med til at gøre ondt værre?

Hvilket så (OT) giver anledning til at nævne, at det burde være obligatorisk at træne den slags i en bilsimulator, på samme måde som man træner inden for flyvning - og man skulle op til en simulatortest hvert 5-10 år for at få lov til at bibeholde kørekortet.

  • 0
  • 1

SIL 1,2,3 og 4 systemer er ikke kun SW. Det er systemet som en helhed der klasses.

Og inden alle falder i svime over styretøjet er der jo ABS, ESP, motorstyring, indsprøjtning, slestrammere, airbags, elektrisk indstillige sæder (ikke rart hvis det kører helt frem) tændrør osv osv. Taler lidt af erfaring fordi det efter ret mange år efterhånden er svært at skrue i sin bil. Ordet Lexia vækker nok genklang hos nogle. Så fremtiden er kommet og har været der i mange år. Og nu kan biler efterhånden selv parallelparkere - gad vide hvem der har fat i rattet ? ;-)

så situationen : motor giver fuld gas, abs gør at man ikke kan bremse, airbag går af, sædet kører helt frem og Wagner i radioen og så drejer rattet til højre - uf en situation ;-)

  • 0
  • 0

Når jeg læser alt dette får jeg lyst til at gå ud i det gode vejr og køre en tur i min 1922 Ford T, hvor det mest avancerede elektromekanik er dynamoen, hvorfor det eneste instrument er et amperemeter til at overvåge dette. :-)

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten