吉利远景“防夹天窗”夹死三岁女童的技术真相

转自天涯论坛: http://bbs.tianya.cn/post-free-5406316-1.shtml

总结:防夹天窗有程序设计问题


  The real technical reason for 3 year old girl clamp die on vision-geely automobile roof-panel system with anti-pinch function

  四川奥伦科技有限公司 文元洪 高群涛 王强

  Sichuan Autonet technologies inc. 

  Wen yuanhong,Gao quntao,Wang qiang

  摘要:根据自己多年研发高端防夹系统的经验,结合现场测试,通过软件仿真,查出了吉利远景汽车天窗控制软件存在bug,是夹死3岁女童的真正原因。还仔细分析了吉利新远景汽车天窗控制软件存在的问题和逻辑错误及其危害性,建议国家起动召回机制。

  Abstract: according to my experience of these years in research and development of advanced anti-pinch system, combined with the field test and through software simulation, find out the control software bug of power-operated roof-panel system on vision-geely automobile. this is the real reason for 3 year old girl clamp die. also carefully analyzes the problems, logic errors and harmfulness of control software of power-operated roof-pane system on new vision-geely automobile and suggested starting recall mechanism.

  关键词:天窗控制 防夹功能 软件bug 容错 堵转启动防夹功能

  Keys: roof-panel system control, anti-pinch function, software bug, fault-tolerant, anti-pinch function in stalling start

  一、概述

  随着汽车工业的快速发展,中国已经成为全球第一汽车产销大国,截止2014年底,中国注册的私家车已达1.05亿辆,平均12人就有一辆私家车。现在人们出行,汽车已经成为必须的代步工具,不开车就很不习惯。然而,先进科技带给人们快捷、方便舒适的同时,也带来不少危险和痛苦,其中电动车窗和天窗已经成为儿童安全的最大杀手。

  近年来,不少儿童被汽车电动车窗和天窗夹死,仅2013年,就有6起儿童被夹死夹伤事件发生。人们也许还记得,2013年10月19日,四川绵阳江油张兵的三岁女儿灵灵,就在自己的眼皮底下被自家吉利远景汽车的“防夹天窗”活活夹死,经媒体曝光后,在全国引起强烈震撼。央视焦点访谈、财经频道、凤凰卫视等新闻媒体纷纷进行了跟踪报道,一时间几乎尽人皆知,家喻户晓。其中,好奇实验室还专门做了一期详实的现场天窗防夹试验,现象是正确的,根本原因仍然没有找到,好奇实验室所选的一款汽车天窗控制程序本身就存在bug。所以夹死灵灵的真正原因至今还是一个迷。而且在此事件的采访报道过程中,吉利汽车厂,天窗生产厂家,汽车行业相关管理部门等,没有一个单位站出来承担责任,也没有一个单位站出来组织技术力量,分析研究造成事故的根本原因,灵灵就这样不明不白的被夹死了。众所周知,公民的生命权高于一切,且能不了了之。

  普遍的观点是,张兵坐在车上和朋友抽烟聊天,女儿在自己眼皮底下被夹死,是你监护不到位,当然应该由张兵承担全部责任。另外,在采访中,一些律师讲,中国目前没有关于汽车防夹方面的技术标准,没法进行责任的判定与划分,这样一来,相关管理部门、汽车厂的责任也推得一干二净,只有张兵这个替罪羊承担全部责任。更为可悲的是,事件发生后,张兵的妻子不能原谅张兵的“监护失职”,不配做父亲和丈夫,愤然与张兵离了婚,张兵是妻离子死,家破人亡。在当时那种气氛环境下,张兵承受压力和打击是可想而知,几乎到了崩溃的边缘。

  然而事实并非如此。第一,张兵的吉利远景汽车天窗本身的确带有防夹功能;第二,早在2009年,国家质检总局就颁发了技术标准《GB 11552-2009—乘用车内凸出物》,其中《4.8 车窗、天窗及隔断系统的电操作》就是电动车窗、天窗和隔断的防夹标准,并规定:新认证车型,自2012年1月1日开始实施;在产车型自2013年1月1日开始实施。该标准是照抄ECE R21—5.8章的全部条款。目前博世、博泽、大陆(原西门子)等国际公司的车窗防夹系统都是用的这个标准。另一个标准是《美国联邦机动车安全标准(FMVSS)§ 571.118》,2008年10月1日实施。所以,是张兵为所有部门和单位当了替罪羊,背了黑锅,一直背到现在,灵灵也死得很冤,死不瞑目。

  笔者作为一名高端防夹系统的设计研发人员,曾参加过中国《汽车电动窗防夹系统性能要求与试验方法》标准的讨论与修改。一直对张兵女儿被吉利防夹天窗夹死事件存在深深的疑问,很想了解事实真相,几经周折终于在15年5月联系上了张兵先生。6月3号,笔者带着助手前往张兵家,对吉利远景天窗进行了详细的试验,并拍下了全部测试视频,果然不出所料,由于天窗控制软件设计存在错误,导致灵灵被夹死,全部责任应该由吉利车厂和天窗厂承担。

  因此,本文将用笔者亲自的测试结果和软件仿真,来揭开这个被捂了2年多黑幕,揭露出背后真正的责任者,还张兵一个清白,让灵灵得以安息,让这些无良厂家和不作为的管理部门得到应有的处罚和谴责,让悲剧不再重演,让我们的儿童安全地进入汽车时代。


  二、事件回放

  2013年10月19日,张兵带着3岁女儿灵灵,驾驶自家的吉利远景汽车从绵阳返回江油老家。路上遇见一个熟人,于是张兵将车停在路边与朋友聊天。朋友坐在副驾位置,这时灵灵站在主、副驾之间的平台上,打开天窗,将头伸出车顶玩耍。由于灵灵平时就爱这样玩天窗,加之天窗本身也带防夹功能,所以张兵并没有在意。大约过了5分钟,一支烟还没抽完,朋友拍了一下灵灵问:“张灵娃不冷吗?快下来”。这时张兵抬头一看,灵灵的脖子被关闭回来的天窗死死卡住,灵灵双手下垂,脑袋耷拉着,知道出事了,赶紧打开天窗,将灵灵抱下来马上进行人工呼吸,碰巧路过的救护车也参与了抢救。半个小时过去了,最终未能挽回灵灵的幼小生命,一个可爱的宝宝就这样失去了,张兵夫妇痛不欲生。


  三、处理结果

  事故发生后,10月24日,张兵找到购车时的吉利绵阳4S店要求索赔。经维修人员检测,该车天窗确实带有防夹功能。

  天窗既然带有防夹功能,为什么孩子的脖子被夹住后,天窗没有及时打开呢?张兵对此感到很气愤,他更质疑汽车设计有问题。4S店负责人对于为何天窗能死死夹住灵灵的脖子,他们也不能确定原因。

  事实上,张兵的怀疑是正确的,远景汽车天窗的设计就是有问题,对此厂家心知肚明,为了逃避责任,故意隐瞒事实真相,避免车辆召回带来的重大经济损失和负面影响。

  据媒体报道,事件发生后,吉利汽车厂也派人来到绵阳进行调查。但据张兵讲,在整个调查处理过程中,吉利车厂和天窗厂家都没有与张兵见面,而是由4S店出面与张兵协商。协商结果是:“4S店认为张兵在车上与朋友聊天,监护不到位,才导致灵灵被天窗夹死,由张兵承担全部责任,闭口不谈天窗具有防夹功能的客观事实。出于人道主义,4S店补偿约12万元给张兵,表示同情和慰问,但要求张兵签协议,以后不得再追究此事”。这样,吉利车厂的责任就隐瞒了下来。

  明眼人一看,里面存在很多的疑问:车不是4S店造的,4S店只是卖汽车,4S店凭什么能够认定张兵负全部责任?显然是汽车厂和天窗厂授意4S店这样处理的,因为他们是一个利益共同体。即使出于人道主义,也该由车厂来实施人道主义,车厂为何不敢露面?笔者敢斗胆猜测,12万的补偿费肯定由吉利车厂支付的,事后转给了4S店。因为这种逻辑实在讲不通。

  此外,既然4S店和汽车厂都没有责任,何必要补偿12万?为何还要张兵签协议,承诺以后不再追究此事?怕什么?


  四、张兵吉利远景汽车概况

  购车时间:2008年8月。排量:1.8L,CVVT,手动档,天窗版,三厢轿车。天窗自动关闭运行时间:约4秒;自动关闭防夹力:5-6kg;防夹返回响应时间:<0.15秒;水平关闭防夹返回距离:后死点;手动关闭夹持力:约15-20kg(成人手掌难以承受);

  天窗功能描述:采用双端一档操作开关控制天窗的关闭、打开、上翘和下翘;具有自动运行和手动运行2种模式,自动和手动模式通过按键“时长”进行识别;具有熄火自动关闭天窗功能;自动模式关闭时具有防夹功能;具有堵转启动防夹功能;具有手动模式堵转断电功能。

  上述功能均为笔者和助手亲自测试所得。同时也测出了吉利远景天窗的控制软件存在bug(错误),这是产生事故的核心所在,正是这一bug导致灵灵被夹死。根本不是张兵失职,疏于监护。

  术语解释:

  1.双端一档操作开关:这种开关如同一个翘板,中间一个支点,两端各有一个一档开关,两端都可以按下。所谓一档开关是指两端的开关只有一个档位,按下去开关接通,松手后复位断开。比如,按下A端,天窗水平滑动关闭,按下B端,天窗水平滑动打开;在天窗完全关闭的状态下,再次按下A端,天窗上翘打开;在上翘开启的状态下,再次按下B端,天窗下翘关闭。

  2.时长控制:是指按下开关持续时间的长短。车窗和天窗控制中,常用2种时长:≤0.3秒和>0.3秒。

  3.自动运行模式:当按下开关的持续时间≤0.3秒,天窗执行自动运行模式。即点按一下天窗开关(≤0.3S),天窗会自动一直关闭,或一直打开,或一直上翘,或一直下翘,直到完全关闭或打开为止。如果中途再点按一次开关,天窗立即停止运行。

  4.手动运行模式:当按下开关的持续时间>0.3秒,天窗执行手动运行模式。即持续按住天窗开关,天窗持续运行,松手即停。手动运行模式就是人为在操作,没有防夹功能。

  5. 熄火自动关闭天窗功能:汽车停车熄火后,钥匙退回0位或拔下,天窗会自动滑动关闭或自动下翘关闭。

  6.自动关闭时的防夹功能:当天窗处于自动关闭(水平关闭和下翘关闭)运行时,在完全关闭之前,遇到障碍物受阻,在阻力达到10KG以前,天窗会马上自动反向运行,释放被夹障碍物,此为“防夹功能”。

  7.手动堵转断电功能:当天窗处于手动运行模式时,在完全关闭或打开之前,遇到障碍物受阻,不能继续前进,天窗会自动断电,此为“堵转断电功能”。

  8. 堵转启动防夹功能:当手动关闭天窗时,中途受阻堵转断电停止,当再次点按“关闭键”时(≤0.3S),天窗会立即反向运行,释放被夹物,此为“堵转启动防夹功能”。

  张兵的吉利远景汽车

  肇事吉利汽车天窗

 


  吉利远景天窗操作开关


  五、技术真相

  吉利远景天窗不仅具有“自动关闭防夹功能”,而且具有“堵转启动防夹功能”、“手动模式堵转断电功能”,还具有熄火自动关窗功能,应当说它的功能配置是不错的,测试的防夹效果也是比较好的。然而,手动操作模式子程序中带有一段bug程序,当手动关闭夹住障碍物堵转断电之后,bug程序在一定时间内禁止了“堵转启动防夹功能”,只允许按“打开键”来打开天窗,释放被夹物。只有等到bug程序延时结束之后,“堵转启动防夹功能”才允许启动,此时按一下“关闭键”,天窗才会立即自动打开。笔者测试出bug程序延时大约10S结束。

  特别错误的是,在bug延时结束之前,每按一次“关闭键”延时就被清0一次,重新开始10S延时。笔者连续按了100次,几分钟过去了,“堵转启动防夹功能”仍然没有启动。如果一直按下去,永远也不会启动。但是停止按键后,等上10-20S,延时结束了,再按一次关闭键,天窗立即自动打开。

  所以,当灵灵按“关闭键”夹住自己的脖子后,本能地去按“打开键”,试图打开天窗,由于脑袋在车顶外面,看不见天窗开关,结果错误的按到了“关闭键”,情急之下,孩子不停的按,由于bug程序还在延时阶段,每按一次,清0一次,不停的按,不停的清0,“堵转启动防夹功能”一直不启动,直到最后缺氧失去知觉。加之15-20KG的关闭力死死夹住脖子,灵灵发不出呼救声,于是活活被天窗夹死。这就是灵灵被夹死的唯一原因。笔者做过一次试验,自己屏住呼吸,坚持到50秒时,就感觉头昏脑涨,眼球发胀,实在坚持不下去了。更何况灵灵才3岁,她被天窗夹住后能坚持多久?

  于是人们自然会问,如果没有这一段bug程序的延时和不断清0,即使灵灵操作错误,堵转防夹功能立即启动,天窗马上打开,岂不是灵灵就不会被夹死吗?非常正确。没有这一段bug程序,堵转启动防夹功能没有被禁止,一旦灵灵操作错误,堵转防夹功能立即启动,天窗自动打开,灵灵当然不会被夹死。在专业上,这叫做防夹系统的容错性。

  为了确认吉利天窗bug的存在,笔者写了一段bug仿真程序,加在我公司的的高端防夹系统的控制程序上,在比亚迪F3的天窗上进行试验。没有加bug仿真程序之前,防夹系统的容错性能很好,防夹可靠性100%,即使操作出错也能100%的防夹。但加上bug仿真程序之后,手动操作堵转断电后的6秒之内(笔者设定延时6S),“堵转启动防夹功能”被禁止,同时在6秒之内,每按一次“关闭键”,6秒延时刷新一次。如果在6秒内不停地按“关闭键”,延时不断被刷新,“堵转启动防夹功能”永远不会启动,此时如果夹住小孩的脖子,必死无疑。只有等到6S延时结束之后,再按关闭键,天窗才能自动打开。当再次删除bug仿真程序之后,高端防夹系统恢复原有的容错性和防夹可靠性,无论怎样操作,都会100%的防夹。笔者的bug仿真程序完全再现了吉利远景的bug功能,由此可以确定,吉利远景天窗的确存在这一软件bug。

  到此,吉利远景天窗夹死灵灵的真相被彻底查清。笔者相信,目前没有人能推翻这一结论。

  需要指出的是,有些网友说,防夹天窗不等于100%防夹。错!凡是防夹天窗、车窗,必须100%的防夹,不能100%防夹,要不是软件上有bug,要不就是解决方案有问题,笔者也敢保证100%查出问题来。

  那么吉利天窗为什么要加这一段bug程序呢?目的是为了保护天窗电机不烧坏。因为手动关闭时不具有防夹功能,如果关闭过程中夹住障碍物,如果操作者不释放开关,电机就会因堵转过载而发热,长期连续多次过载过热,电机就可能烧坏。但是这样做牺牲了防夹系统的容错性能,提高了人员伤亡的危险性,尤其对儿童,风险很大。没有容错性能的防夹系统,就成了杀人的机器。

  实际上,这段bug程序完全是多余的,电机损坏一是高压击穿,二是热积累。而电机堵转过载的发热量Q=0.24I?RT,需要一定的时间,至少5分钟之内电机不可能损坏,更何况电枢绕组里还串有PTC热敏电阻,绕组温度升高后,PTC会自动断开,保护电机。但是,5分钟的时间足可以把儿童夹死。

  所以,张兵怀疑吉利天窗设计有问题是完全正确的,问题就在于画蛇添足的加了这一段bug程序。取消这段bug程序,灵灵就不会被夹死。

  对于这一段bug程序,吉利汽车厂、天窗生产厂都是非常清楚的,仅凭这一条bug,就足以构成召回的条件,因为它关乎生命安全,夹死灵灵就是血的证据。由于召回的经济损失和负面影响,可能对吉利汽车造成严重打击,所以他们才百般隐瞒,让4S店出面,把责任全部推到张兵身上。冠冕堂皇的出于人道主义给予一定补偿,还有协议在手:“张兵以后不能再追究”。真可谓天衣无缝,滴水不漏。由此也足见吉利汽车诚信尽失,道德沦丧。

  除此之外,笔者去年4月22日也测试了2015款吉利新远景的天窗防夹系统。新远景天窗控制程序设计更是错得离谱,儿童玩耍天窗时极其危险,现阐述如下。

  1. 仍然采用双端一档操作开关控制天窗的打开、关闭、上翘和下翘;

  2. 按键“时长”≤1秒为手动运行模式,即≤1秒为点动运行,按一次开关,关闭一段距离,再按一次,再关闭一段距离。关闭过程中没有防夹功能;

  3. 按键“时长”>1秒为自动运行模式;自动模式运行时,按键“时长”必须大于1s以上,而且只有在按键松开以后才具有防夹功能,但防夹力很大。如果不松开,就不具有防夹功能,仍然是手动模式,关闭力很大,可以夹断儿童的手臂;

  4. 天窗不具有堵转启动防夹功能。

  5. 天窗不具有手动堵转断电功能;

  6. 天窗关闭运行时间大约4秒。

   


  2015款吉利新远景

  对于具有自动和手动操作模式的电动车窗、天窗来说,实际使用中,自动模式为首选,因为它带有防夹功能,安全、舒适、方便、快捷。设计中,当采用“一档开关+时长”控制时,通常也把自动操作模式安排在前面,手动模式在后面。操作者只需点按一下操作开关(≤0.3S),车窗、天窗便会自动运行,而且一松手就具有防夹功能,非常安全。如果想停止,再按一次开关即可。如果需要手动操作,只需持续按住开关即可。

  吉利新远景的天窗也具有自动和手动操作模式,然而控制程序设计非常奇怪,把手动模式安排在前面,自动模式安排在后面。即按键时长≤1S为手动模式,大于1S为自动模式,而且大于1S不松开也是手动模式,即长按也是手动模式。

  我们试想,一个孩子操作天窗夹住了自己的脖子,本能的要去按“打开键”打开天窗,结果错误的按到了“关闭键”。如果孩子按键“时长”小于1秒,由于是手动模式,按一次,夹紧一次,越夹越紧,很快就把自己夹死;如果孩子按键时长大于1秒,由于没有堵转启动防夹功能,即使松手,电机仍然不断电,拼命往死里夹,还是被夹死。也就是说,只要夹住了,按错了键,不管是“短按”还是“长按”,都必死无疑。

  再看一种情况,如果儿童操作天窗关闭,距离夹住脖子还有2cm停止了,然后去按“打开键”,试图打开天窗。结果按错了,按到了“关闭键”,如果此时要靠自动模式的防夹功能来打开天窗,就必须按到1S以上而且还要准时松开,才可能具有防夹功能。可是1S钟天窗可以走10cm,早已夹住儿童的脖子堵转了,由于1S以前为手动模式,在手动模式夹住的,即使1S后松手了,天窗也不会打开,因为只有在自动模式夹住的才能防夹返回。而且这种操作方法太难了,成人都难以控制大于1S的松开时间,更何况是儿童。此外,如果儿童按键时间小于1S,由于是手动模式,同样很快被夹住。所以,在这种情况下,无论长按还是短按,最终结果都是被夹住,甚至被夹死,哪里还能叫防夹天窗。

  现在我们再假设天窗小于0.3S为自动模式,大于0.3S为手动模式,而且具有堵转启动防夹功能。此时,如果儿童按键时间小于0.3S,松手后立即具有防夹功能,当天窗夹住儿童脖子后会立即防夹返回,儿童得以活命;如果按键时间大于0.3S,夹住脖子后天窗不返回,当儿童再次不停的按开关时,只要有一次小于0.3S,堵转启动防夹功能被启动,天窗立即返回,仍然可以活命。如果再把小于1S设为自动模式,大于1S设为手动模式,显然,天窗的安全性能也会大幅提高。

  由此不难看出,吉利新远景天窗把小于等于1S设计为手动模式,大于1S设计为自动模式,把手动模式安排在前,把自动模式安排在后,这样的设计是极其错误的,连基本的控制逻辑都没有搞清楚。

  这个天窗比张兵的远景天窗更危险。张兵的天窗是,夹住之后堵转断电了,就停在那里,无论怎样按“关闭键”,不继续夹;而新远景天窗是,按一次夹一次,越夹越紧,很快就夹死,短按也夹死,长按也夹死。这就是好奇实验室拍摄的实验结果。笔者用手臂做实验,小于1秒按3次,手臂就受不了了(穿着冬装);按下时间大于1秒松开,天窗不断电,连续夹住,动一点夹紧一点,扛不到5秒就受不了了,必须马上按“打开键”停止并打开天窗。如果是小孩的胳膊,很可能就夹断了。

  这样的防夹天窗简直就是一个杀人机器。不仅控制逻辑错误,而且一点容错功能都没有,太危险了。不召回就等于放任机器犯罪!


  六、责任

  毫无疑问,首先是吉利汽车厂、天窗生产厂必须承担夹死灵灵的全部责任,同时还必须赔偿张兵夫妇家破人亡的全部损失和张兵夫妇及父母的精神损失。同时还应该在各大媒体上公开事实真相,公开向张兵赔礼道歉,恢复名誉,张兵不是一个不负责任、失职的父亲。

  第二,吉利公司必须召回安装了上述2种同类天窗的所有吉利汽车。由国家质检总局、中国汽车技术研究中心、汽车行业协会等相关管理部门组织专家组对吉利汽车所有天窗进行测试,凡是存在bug的,必须召回。

  第三,由于有些孩子是车窗夹死的(比如石狮、太原和沈阳夹死的孩子),车窗控制系统仍然很混乱,有很多厂家都存在bug(包括合资和进口车型),借此机会,国家相关管理部门应当按照《GB 11552-2009—4.8 车窗、天窗及隔断系统的电操作》标准,对各车型的车窗、天窗(包括合资品牌)进行一次大清理,大整顿,不合格的全部召回,内外资一视同仁。

  第四,2013年1月1日标准实施以后,一年内连续发生6起夹死夹伤儿童事件,车窗安全形势已经很严峻,公民的生命权高于一切,国家相关管理部门本来应当立即组织专家对事故进行调查分析,查清真正原因,找出责任者,但没有这样做,至少属于行政不作为,管理失职,对灵灵和其他孩子的死同样具有不可推卸的责任,应当承担相应的赔偿责任。

  在上述的清理整顿过程中,笔者和所在公司愿大力提供技术支持和测试方法及测试设备。


  七、标准批判(暂略)

  八、结束语(暂略)


  作者简介

  文元洪:高级工程师。毕业于清华大学自动化系自动化专业。长期从事自动控制系统、电气传动系统,变频调速系统、计算机网络产品、电子产品、单片机嵌入

  式系统、汽车电子ECU模块等的研发设计。研究电动车窗高端防夹系统8年,全球独家推出容错性能很高的2线制电动车窗(含天窗)高端防夹系统和6线制霍尔电机车窗(含天窗)高端防夹系统,独创了“实时自学习自适应防夹软件算法”,使防夹可靠性达100%,技术处于国内外最领先地位。2009 -2010年,参加过中国《汽车电动窗防夹系统性能要求与试验方法》标准的讨论与修改。可以这样说,现有国内外如何一家公司的车窗防夹系统,存在的所有bug,本人都可以检测、破解出来。


  高群涛:工程师,毕业于武汉大学电子工程系无线电专业。1993-2004年,在深圳中兴通讯从事技术研发工作,车窗高端防夹系统技术方案的设计者之一,深刻了解国内外车窗防夹系统的技术现状和研发水平。2009 -2010年,参加过中国《汽车电动窗防夹系统性能要求与试验方法》标准的讨论与修改。


  王强:研发工程师,毕业于重庆大学自动化系自动化专业。长期从事电动车窗高端防夹系统的检测与调试,并负责4S店的安装培训和技术指导。深刻了解国内外车窗防夹系统的技术现状和研发水平。

  2016年1月27日

  于四川德阳


  联系方式:

  单位:德阳奥伦科技有限公司

  地址:四川德阳市天山南路2段28号

  联系人:文元洪 13990299619; 高群涛 13316863631

  电话:0838-2502693;0838-3063165

  传真:3038-2517919

  Website:www.china-autonet.com

  Email:tsh9999@sina.Com;laolaogao@sina.com