标签: dsg

大公司的不地道   大公司由于过往的口碑，不惜有时说谎，不知道狼来了的故事何时使那个说谎的孩子受到惩罚?举四个例子：   1。前不久EETIME 专栏独家报道了丰田突然加速在Oklahoma案中败诉的技术原因（Toyota Case: Single Bit Flip That Killed Junko Yoshida 10/25/2013 03:35 PM EDT ），在二位技术专家的证言中说明丰田节气门软件存在许多不合理的地方，并用软件故障注入实验重现了程序失控的可能性，虽然还不是直接重现突然加速，但已经能说服陪审团丰田有疏忽之责。丰田一看处于下风，立马同意赔偿而逃避进一步的追责。这个故事是很有看点的，我看了庭审记录公开的部分，可以看到控方律师如何谆谆诱导证人讲要点，辨方律师如何找机会为难证人，法官又时时提醒陪审员在休庭时不要交换意见，相互影响。对美国的陪审团制度我一无所知，后来又找了罗胖子的“罗辑思维“有个专辑看了一下，才知道陪审团才是关键。看来专家间的质证只是第一步，说服大众才是关键。大公司的力量太大了，它们可以以各种明的暗的力量左右事态，在2010年我收到的电邮中可以感受到那些认为丰田突然加速是节气门有问题的人受到的压力。所以eetime能作此报道是要有勇气的，向你们致敬！   2。大公司可以编个理由忽悠人，又如ww在去年2013的dsg召回事件中给出的理由是中国天太热，路太堵造成变速箱切换太频繁，所以才出故障。但是别人也用双离合变速箱，他们自己还在推出10档的双离合的变速箱，更多档位显然会使变速箱切换更频繁。所以那个理由如何能说服人？   3。我在找a380失压事件有关资料时查到2005年美国工程师J Mangans 对TTP芯片质疑的故事，这也是个个人对抗强大公司的例子。美国工程师Joseph Mangans在TTP中担任芯片设计的主任工程师，它认为有隐患： Mangan said he found serious flaws early last year （注：2004年）in TTTech's computer chips and the software for the A380's cabin-pressurization system, according to legal documents. The system wa5 executing "unpredictable" commands when it received certain data, possibly causing the pressure valves to open accidentally. Because all four motors in the A380's cabin-pressurization system use the same type of flawed TTTech chip, Mangan says, "if one fails, they all fail."   多方反映没有结果，于是他在网上以博客方式公布了他认为的证据，TTP开除了他并民事及刑事控告他泄密，法官判他在奥地利禁言此事，并罚款到破产，并可能入狱，TTP和解的条件是他收回他的言论，但是他不接受。网上没有后续报道。   Joseph Mangans没有细说技术细节，他的博客网页没法连到，发现有另一位安全专家的博客，在讨论中有Joseph Mangans的贴。 Schneier on Security: Potential Airbus Flaw and Coverup 从该贴可见Joseph Mangans认为有如下几个问题：我直接考贝。 1．系统设计的多样性冗余未作   The Boeing 787 Cabin Pressurization System, is to also be provided by Nord Micro, however Boeing demanded that the traditional 3 motor Outflow Valve Design be used, instead of the AIRBUS A380 single motor design. The system implements the “dissimilar redundancy��? required by the regulations to assure that the system is “fail safe��?, and the outflow valve control is redesigned to contain 2 equally functional redundant controllers, (primary and secondary).   2．TTP/C协议发现有安全问题，且当时各车厂已否定   The FLEXRAY consortium, formed in 2001 by a split, which formed in the TTA Consortium with the departure of BMW, Bosch, Daimler Chrysler, and Motorola, over the refusal of Dr Hermann Kopetz to modify TTP/C to correct serious safety defects（注：这个说法似牵强，2001年时没有人说过TTP/C协议的问题，但有关各方内部可能早有讨论，只是尚未公开） in the technology. TTP/C was therefore determined by the world’s Automotive manufactures not to be safe for use in Automobiles.   3．为Boeing而修改的工作是Honeywell改，并非原TTP/C协议的东西，它们未经严格的安全认证 However, Honeywell, chosen to provide the Boeing 787 Fly by Wire Flight Control System, is using the TTP/C controller as the exclusive communications element for each of the redundant channels of the system. Honeywell had demanded changes to the TTP/C controller and Protocol to eliminate safety critical defects in October 2003.  TTTech Chairman of the Board, TU Vienna Professor Dr. Hermann Kopetz grudgingly agreed to make the changes, in order to win the “exclusive contract��? in the use of the TTP/C chip in the fly by wire proposal to Boeing. TTTech’s CEO and CFO failed to make the investments to comply with the agreement, and in July of 2004 Honeywell was awarded the Fly By Wire contract. In August, Honeywell asked for the new chip and protocol with the as agreed corrections. In the period between October 2003 and August 2004, TTTech CFO and his sales staff communicated to Honeywell that work was on schedule and proceeding. In September of 2004, I informed the management at Honeywell that TTTech had not performed the work, which it had promised, and no work would be performed without a contract, (with a likely cost of several million dollars ). Honeywell was furious, and began a desperate attempt to configure the chip in a way to cause the safety defects to be disabled, with the end result that the behavior of the chip and the software no longer conformed to documented behavior and tests. Boeing, still intends to use the chip in the Honeywell provided Fly By Wire system.   Mangan的下场很悲惨，一个雇员出于良心要改却无能为力，出于怕几年之后追责任不能签字（他提到过In addition, as Chief Engineer, I have personal liability for the systems which are approved under my signature authority. The Chief Engineer of the Concorde in 1969, is, this week, being charged with manslaughter in 2005, 36 years later, for the accident which ruptured the fuel tank, resulting in a crash which took the lives of 113 passengers.），提前离职恐又有合同惩罚。他如何是好？同情他而觉得公司可恶。   4。现在在车辆控制中Bosch新推出的CAN FD总线有了些改进，但是仍然认为CAN是没有问题的，在CAN FD Specication 1.0 开卷第一页中有一段话：New CRC polynomials are introduced to secure the longer CAN FD frames with the same Hamming distance as in the proven CAN protocol. 我对CAN错帧漏检的分析早在2010年就发到过CiA. 看来只有让更多的人知道才是唯一的办法。   这是我准备向国外送的材料： Performance of Error Detection of CAN is doubtful!!! 1          CAN 2.0 claims its HD=6. It is invalid. In Figure 1 the 2 bit flips cause an error code of Ec=U*G= (1001,1010,0110,1010,0101). That is HD=2.   Figure 1 CAN 2.0 HD=2 example. U=x 4 +x 3 +x 2 +1   2          CAN 2.0 claims any odd number error can be detected. It is invalid. In Figure2 there are 3 bit flips the error code is also multiple of CRC generator. Figure2. 3 bit flips in Tx. U=x 6 +x 4 +x 3 +1 and Ec=U*G=(1110，1111，0101，1010，0000，01).   3          CAN 2.0 claims "burst errors of length less than CRC Sequence in a message are detected". If burst error is defined by the length between the first error and last error, it is correct. Because the burst error length is error code length that is shorter than the power of the CRC generator, error code will not be a multiple of CRC generator. That guarantees there is no undetected case. Thus it says nothing. If it is understood in engineering meaning, burst error means a contiguous error bit flow. Then the Figure3 can be thought as a 6 bit long burst error. This Tx is also a susceptive Tx. In burst error situation it produces an undetected erroneous Rx. That shows "burst errors of length less than CRC Sequence in a message are detected" is invalid. Figure3 multi bit flips in Tx. U=x 6 +x 4 +x 3 +1 and Ec=U*G=(1110，1111，0101，1010，0000，01) 4          CAN2.0 gives undetected error rate of 4.7*10 -11 . It is underestimated. Take example figure1 alone, the suspected Tx can have 4 start patterns: Tx=100000 to Rx=100100; Tx=100100 to Rx=100000; Tx=011111 to Rx=011011; and Tx=011011 to Rx=011111. There are 2 23 possible Tx patterns. Thus the suspected Tx take a portion of 2 -21 . The Tx can be in any place in 64 bit DATA field. Hence there are 65-23=42 different frames which has suspected Tx. For basic CAN frame format the frame length is 107 bit. If one stuff bit is considered the frame length is 108 bit. The probability of 2 bit flips occur at Tx relevant specific position is 2/108/107. This gives the undetected frame error rate Pun=2 -21 *42*2/108/107=3.4*10 -9 with only one example Tx.     技术的发展本来就有阶段性，后来发现以前的不足是正常的，不正常的是为了商业利润拒绝改正，继续忽悠，好像是能骗一个就再骗一个。所以扫帚不到灰尘照例不会自己跑掉。 在这里那些掌控着车辆安全性验证审批大权的汽车公司有关部门，行业有关主管单位，第三方独立认证机构，你们是不是还在放水？   各位看官，你们认为如何才能止制大公司的忽悠?   抽出你20%的精力，解决你竞争对手忽悠别人同时也是忽悠自己的问题，你会得到80%的效果！

国家兴亡匹夫有责，从神九用到 CAN 总线讲起（ 4 ）大众 DSG 的死亡闪烁   2013 年消费者权益日央视报道了大众系车的 DSG 问题，此后国家质检局要求大众主动召回，再后大众发布了涉及部分车型及批次的 38 万多的车的召回，这就成为了当今的热点之一，我从通信层面讨论会造成 DSG 问题的缘由，可能出于汽车专家的意料之外，所以欢迎讨论，而且有关问题能否确实解决，涉及车主利益，所以迎转发本博文。大众显然是一种姿态而非本意，对此消费者仍是不满的，因为到底召回是否确能解决问题，未召回的车是否就没有问题，消费者没有完全信任的理由。   每个人都可以从自己的专业来考虑问题，因为那是你活学活用的好机会，即使没挂上钩，至少使你的知识深化了。但第一步是详细占有原始资料。   对这次召回的主要原因是变速器有“失去动力”的失效，这是涉及安全的。因为你若在超车时或在路口起动时失去动力就有可能追尾。其他的抱怨如噪声、抖动、顿挫、拖档等均属次要，那是舒适性差，是你买车以前要做的功课，你没做好怪不得别人，别人是不会退钱给你的。   2009 年美国也因“失去动力”的理由要展开过调查，但至今未有结论，所以此次中国的召回能否对症下药仍不容乐观。 http://www.myturbodiesel.com/1000q/DSG-faq-VW-Audi.htm DSG NHTSA investigation The National highway transportation safety administration (NHTSA) recently opened an investigation on power loss and jerky power delivery of the DSG.  While the number of DSG with problems is small, the problems reported which opened the investigation are serious and could result in a crash.  This investigation is not limited to TDI, it's for all VW/Audi DSG.  The NHTSA action number is PE09035 opened July 17, 2009 and currently covers 2008-2009 models. While some DSG have a small delay in clutch engagement and power delivery from a full stop, this is considered normal and can be expected and compensated for by the driver.  The more serious problems involve false neutrals for no reason, shifting into neutral by itself, and not being able to shift back into drive from neutral while at speed.  These sorts of problems are not unique to DSG transmissions or VW since they can occur on any car with a defective part or faulty design.   However, there are many more anecdotal problems reported than just the cases which resulted in the opening of the investigation.  Ultimately, the opening of an investigation means only that there are problems reported which merit further investigation and this should currently be the only conclusion which one should draw from this action. 这段介绍讲到 DSG 毫无理由地自己进入空档 ! 注意的一点是 2009 年的召回是 6 速的湿式 DSG ，当时的对策是认为温度传感器出错造成。如果本文分析的原因不能排除，那么 6 速的湿式 DSG 也还会出问题，不像有些人认为的从干式 DSG 退回湿式 DSG 就可以解决问题。   “失去动力”的失效可以有各种原因造成，但是要保证不再有“失去动力”的失效，就要排除所有可能的隐患。在这里我就要讨论 CAN 通信失效的可能性了，希望也能排除掉。   我这里主要的信息来源是大众的培训材料： 大众 7 速双离合 器 DQ200_SSP_390_DSG_0AM_ 百度文库 p.7/76可知 选档杆的档位模式信号 由HALL传感器检测， 经过 CAN传出 的，由P.66/76可知，它是独立的节点E313，接到变速箱控制器J743。  P59/76 讲“如果控制单元检测不到档位，二个离合器就都分断“。 据这样的描述， 如果没有档位模式信号，就会有档位模式的报警，即 PRNDS 的闪烁（用户所称的“死亡闪烁“），同时变速箱进入空档，失去动力。所以并不是像上面讲的 DSG 毫无理由地自己进入空档。 从下个视频可见再踩油门也没用，只是发动机空转。 我的迈腾 2.0T DSG 波箱故障！—在线播放—优酷网，视频高清在线观看   那么什么情况会丢失档位模式信号？一种可能是 E313 的 CPU 失控了，一种可能是 CAN 出错了。如果 E313 失控，还会引起更多的出错现象，例如把 R 认为 D ，把 D 变为手动，可能比现在的投诉情况更复杂。另一方面，从功能上讲， E313 是极为简单的，它只要周期性地检测 9 个 1/0 输入，并把它组成 CAN 帧发送出去即可，出错纠错的实现容易：程序很简单，时间很宽裕，可以添加许多增加可靠性的措施，例如防止走飞的看门狗技术，各种自检，甚至对单个 HALL 元件的特性老化的预防性诊断，电源变化的诊断，在情况恶化之前就可以作安全提示。所以先排除 E313 的 CPU 失控这种可能。 从 CAN 通信上讲，是有失败的可能性，下面是 网上查到的 CAN 通信失效报道，也就是说查实有 CAN 通信失效的记录（虽然不是直接指向 E313 的 CAN 通信）： My Volkswagen Touran (2011 Highline) » DSG7.com Comments Feed 新速腾 1.4T 动力有时候瞬间没 有 了， 1s 后恢复，请问大家遇到过么 - 有车一族汽车网 那么为什么错误会持续？这里一种可能是变速箱的安全策略选择，不得有一次错（或短时间的数次错），因为这可能是硬件的永久性损伤（通信线缆断、短路， HALL 元件坏，甚至 E313 坏），如不及时切断，整个控制方案会变得混乱（例如 D 档误为 R 挡就非常危险），并涉及其他控制器的配合。因此需要停车后处理；另一种可能是 CAN 的一些寄存器出了错，例如 CAN 位时间设定因电磁干扰出了错，所以它就一直错下去，或者收发出错多到离线状态。直到重新初始化才可能性消除。   例如这位在出问题后关过车，再点火后恢复正常，再点火就是 Reset ， Reset 后 CAN 的位时间被重新写入： 【图】【紧急求助】早上上班路上速腾的小问题求解 _ 速腾论坛 _ 汽车之家论坛   这位也是关过车后恢复的： 【图】速腾 1.4T 的问题 _ 速腾论坛 _ 汽车之家论坛   由于博文长度限制，这篇分段呈上。   下接：   国家兴亡匹夫有责，从神九用到CAN总线讲起（4）大众DSG的死亡闪烁2  国家兴亡匹夫有责，从神九用到CAN总线讲起（4）大众DSG的抖动、异响、短时失去动力  http://forum.eet-cn.com/BLOG_ARTICLE_16886.HTM

  国家兴亡匹夫有责，从神九用到CAN总线讲起（4）大众DSG的抖动、异响、短时失去动力   上一篇《大众DSG的死亡闪烁》引用的例子中已经有CAN通信失效的记录，这说明在车内环境中干扰很大，完全存在CAN错帧漏检的条件。要知道错帧漏检的概率比Bosch声称的要大2000倍（见博文（9）-2），这是难以忽略的。 发生错帧漏检时不会在车的通信故障记录中留有痕迹，往往成为“车无故障”推托的理由。 但是，其后果是存在的，完全可以从系统因果关系加以分析，出现错帧漏检时会出现例如抖动、异响、短时失去动力等等。   现在讨论第一种情况：   为此我们要先看DSG的特性，简单地说，DSG控制器通过二个离合器来选择所需要得齿轮啮合对，当一对齿轮组在工作时，另外一对抽空已经啮合好，所以换档只是松开一个离合器+合上另一个离合器，所需的时间很短。当然由于防止打齿，啮合过程有专门的同步器实现，因为车轮带着车厢惯性大，发动机侧惯性小，同步器在升降档时需要的时间是不同的，特别是降档时要求发动机侧的齿轮要稍加速才行，所以还有自动给发动机加油的命令。Direct-Shift Gearbox - Wikipedia, the free encyclopedia上提到DSG升档的时间可达到8ms，降档时为600ms。另外，DSG有跳档的功能，当油门踏板踩地板油（kick-down function）时可根据当时车速、油门开度自动选合适的档位。注意这一句：This kick-down may be engaged by any increased accelerator pedal opening，跳档可以因任何踏板开度的增加引起。   DSG是根据车速、油门开度及变化来决定档位的，油门开度的信号是通过CAN总线送到DSG控制器的。而在干扰下CAN有错帧漏检的可能性，详见本系列博客的（7）~（10）。 假定油门开度为 50% ，但是在干扰下，这个信号被 DSG 读为 80% ， DSG 自然会认为驾驶员要加速（实际上驾驶员什么也没做），便很快升档，甚至跳档，假定发动机传给 DSG 信号的周期是 20ms ，那么就可以跳 2~3 档。下一 20ms 到达的信号假定没出错，仍是 50% ，那么 DSG 认为应回到原档位，就执行降档，由于降档时间长，需要 1200~1800ms ，在这一段时间里发动机的功率实际没变化，而档位经历了升档，当然就会使车速下降，使人感到有 1~2 秒的失去动力。急促升降档就会引起噪声、抖动、顿挫的体验。   CAN还有等效离线并导致真正离线的故障（见本系列博客的（11）），如果在发生一次错帧漏检后接着离线，那么发生错误升档的数目可能会更多，恢复原档位的时间更长，此种症状就会更久一点。   DSG也接受来自ESP的信号，我们还不知道DSG如何用这个信号，DSG也有信号供给ESP，它们之间可能会有复杂的耦合的交互影响，尤于没有公开的设计资料，一旦9个CAN帧交互中的某一个CAN帧发生错帧漏检，其对DSG控制器影响后果就较难分析。   现在讨论第二种情况：   网上有这样的贴子，可能引进另一个CAN错帧漏检造成DSG失效的可能性： VWVortex.com - 2010 DSG Problems 很抱歉，用普通编辑模式我无法把图贴好，而用高级编辑模式又失败了。请参见上传的word文件中         这位先生的帕萨特2010车在冷起动时无法进档，无论在R，D，S位，只见发动机升速而不见车动，他自己用仪器发现了出错的代码，但是到销售商处，他们说没发现，连他原来发现的也没了，他们说他的软件版本老了，但他说他的版本是新的，争执之下无法作结论。 从代码看，有二类，一类是说DSG控制器内部程序有错，一类是速度超出上下限，无法算出合理档位。因此，CAN错帧漏检时也可能产生无法算出合理档位，从而被DSG读为故障的可能性，从而引起像这位遇到的失去动力的现象。但是我们还没有技术资料可以判断这种情况是否确实存在。   从上分析，用 CAN 错帧漏检可以解释 DSG 控制器有噪声、抖动、顿挫现象。 为了减小CAN错帧漏检造成噪声、抖动、顿挫，可能会采取我在文（10）中提到的送多次以多数表决的方法，但是这会引起带宽需求的增加，引起其余应用中消息送达时间的延迟，这需要进行新的验证与认证。 如果不增加带宽，那么就以原来的每 20ms 送帧， DSG 控制器每 3 次收到后通过表决动作一次，那么变速器的加速能力就会下降，而自动变档也会迟钝，造成油耗增大，这样召回的结果恐怕消费者不会满意， 从长远来讲VW也会因产品性能下降而丢失用户。   CAN的错帧漏检已经拖了DSG的后腿，抖动、异响、短时失去动力虽然不属于安全隐患的强制召回范畴，但也属缺陷之一，不解决吧，上8000多人的投诉会形成坏口碑，“这种车有噪声、抖动、顿挫“，以后就处于竞争劣势，解决吧，可能影响车的加速动力性能和能耗。二难之下，后者对消费者是隐蔽的，可能先消除抖动、异响、短时失去动力吧。   所以你看，我们是不是应该促进一下CAN的改进？据说很多中国车厂也在开发自己的DSG，虽然DSG可能也有其他出错的原因，如排除了CAN的问题，可能解决了主要的出错原因。此时DSG的优点是明显的，不像有人称的是一堆垃圾。它也可能用到在军用车辆上，那里更需要机动性与节能，那时更不像城市开开停停那么频繁，离合器的温升与摩损问题更小，就更有前途。  

  国家兴亡匹夫有责，从神九用到 CAN 总线讲起（ 4 ）大众 DSG 的死亡闪烁-2     从这里开始续上文：    这位也是关过车后恢复的： 【图】今天我的速腾 1.4tdsg 脱档了！ _ 速腾论坛 _ 汽车之家论坛   但是，我们看到有的消费者并没有作类似于上电 Reset 的动作，却也能恢复：   大众速腾 DSG 问题严重，短暂动力丢失 - 曝光台 - 汽车论坛 _ 汽车频道 _ 腾讯网   这三位投诉者有失去动力但没有提到死亡闪烁，看来还有更复杂的可能性。   下一位的反映使人感到 CAN 有不可靠性，才把一条线上的几个单元都报错： 【图】又 TMD 中奖了， 1.4T 自动技术传说的“死亡闪烁”出现了！ _ 速腾论坛 _ 汽车之家论坛 这位也怀疑是否 CAN 造成问题：他的车在停车时出了 ESP 报错，钥匙转到点火位置仍报错，且发动机不启动， VW 的路助人员诊断是可能是动力链 CAN 网关有错，而在当地经销商处诊断为 DSG 的电子模块故障。 DSG Mechatronic failure or CanBus fault?   下图是 DSG 油泵的无刷电机由机电控制单元供电的线路，它与 CAN 在同一块印刷板上，可见绕组换相时的干扰（传导和辐射）离 CAN 多么近。另外油压超过 70bar 时要停泵，启停时的干扰会更大。     由此可见，有时候要解释报错时的症兆，须把 CAN 通信的因素考虑进去，本篇只讨论了 CAN 通信显式出错时 DSG 失效的可能性， CAN 通信实际上错了而没有检测出（即错帧漏检）的 DSG 失效可能性请看我以后的分析。   VW 的车总体上是优良的，你如果上网查口碑，还是好的多。像本文中引用了 7 位的例子，相对 100 万的同样用 DSG 的中国用户，其比例也就是 7*10 -6 。但是因为涉及了安全，就难逃追究。由于 VW 的保密，技术上的透露很少，我觉得中国大众应更主动地了解 DSG 的安全技术内容。有实力的单位可以对 J533 作解剖，逆向工程看看 VW 到底做到什么程度。   为解决问题，考核 VW 是否对症下药地处里， 应该把 4S 店对投诉车的诊断结果公开，任何隐匿可视为一种不诚信的商业行为，国家质检局应该质令大众上报这些投诉车的诊断结果 。 请参照美国的做法，在丰田突然加速召回事件中，丰田自己已发现有问题而在规定 5 天的时限内未通知政府，政府曾因此理由课以重罚 丰田同意向美支付 1735 万美元罚款 _ 新浪汽车 _ 新浪网 。为了中国消费者的利益，国家质检局和有关法律代理人应多向美国同行学习。