系统崩溃了处理办法 GPS车载系统设计、制造中的可靠性问题

国内GPS行业产品主要应用于汽车防盗、车辆调度，全球卫星定位系统（GPS）以其定位精度高且不受城乡地理位置影响等特点在世界范围内掀起了一股应用热潮，GPS车载系统是其中最重要的环节，以及物流管理等诸多方面。

GPS车载系统设计、制造中的可靠性问题一、概述

包括车载设备软硬件的设计、制造，GPS应用系统是一个庞大、复杂的系统工程，中心监控系统软件开发，安装及售后服务系统的建立、运转，客户培训、服务系统的建立、运转等等，这些系统的建立，其投资动辄以千万元计，运转费用则高达每月上百万元，可靠工作成为系统设计、建立、运转的头等大事，由于其担负生命及财产安全的保卫任务。

随着信息技术的发展，单纯从技术角度看，计算机软硬件系统、网络技术已经成为高度成熟的技术，因而涉及到这些方面的可靠性问题相对较少，也比较容易解决，相比之下，由于种种原因，已经成为目前制约行业发展的瓶颈因素，车载系统设计、制造中的可靠性问题变得相当突出。

二、GPS车载系统对可靠性的要求。

以下几个方面决定了对GPS车载系统的可靠性要求是极高的：。

1工作要求苛刻。

必须按照通讯系统不间断工作的可靠性要求去设计、生产车载机，GPS车载机的工作要求达到了与大型网络服务器、电信通讯系统同等要求的程度，在GPS车载机上安装电源开关、复位按钮是不可想象的，人工对GPS车载机进行断电、复位都是不允许的。要求在任何时刻都能够呼的应、叫的通，GPS车载系统担负安全防范、管理调度重任，必须24小时全天候工作，尤其是安防型产品更要在关键时刻发挥作用，因此车载机必须能够长年累月的正常工作而不允许出现关机、死机、功能错乱等现象，其工作要求远远超出了家电、手机、甚至汽车的电脑系统，这些系统中CPU可以通过关机、换电池、断电等方式重新启动而清除累积的错误状态，而GPS车载机工作不正常则有可能造成财产甚至生命损失，即使出错也不会造成大的损失。

随便举个例子说明一下：。

但我们认为电脑已经很可靠了，实际上电脑有时连10个小时都坚持不住而死机，因为我们2个小时就做完工作关机了，大不了重新启动一次，就算有时2小时都坚持不住。这个指标对家电、手机、电脑、汽车意味着绝对可靠，假定车载机软件故障时间是6个月即平均每工作180天才出一次问题，因为他们永远不会连续工作180天，甚至10天都不会，而头10天软件错误累积可以认为是0，软件状态又会从零开始，只要一关机、断电。因为用户不敢再买了，答案是不可能。若市场上运转的机器达到2000台，而车载机必须长年累月连续工作，要是达到2万台、20万台呢？，就意味着平均每天有10台机器出故障。

2工作环境严酷。

仪表板下安装车载机的部位有的温度达到了90℃，实测若干辆连续工作近20小时的出租车，机器内部GPS板CPU芯片表面温度甚至达到了98℃。按照汽车工业的标准，GPS车载系统工作于车上，车载电子设备的设计标准介于工业级和军级之间，其最重要的指标就是环境温度范围，工作于发动机舱的设备要求工作温度范围为-40-125℃，其余地方要求为-40-85℃，车载GPS设备一般安装在汽车仪表板下面，有些车况不太好的汽车，汽车长时间工作后温度很高，发动机热量会泄漏到这里。对车载机的低温工作特性也提出了严格的要求，由于我国幅员辽阔最北方冬季气温可低达-30℃以下。

还会遇到水汽、灰尘、油污、腐蚀性气体、液体等各种不利因素，由于汽车是室外工作。

GPS车载机的工作环境是极为严酷的，因此，恐怕早就瘫痪了，如果将电信的交换机设备置于如此环境之下工作。

3震动、冲击强烈。

因而又要求机器能承受强烈的冲击，当发生撞车时即使车身撞烂车载机也必须保证能正常工作以进行报警。汽车行驶中的震动不可避免的要传到车载机上，车载机安装于飞驰的汽车之上，一般产品只要达到运输抗震要求就可以了，可以通过在包装上做文章来解决，对其抗震性能要求很高，车载机却是机器本身长期承受剧烈震动。

4电磁环境恶劣。

电压波动范围宽，车载机由汽车电瓶供电，汽车启动瞬间12V的汽车电瓶电压可能跌到5V以下，这个“瞬间”有时长达10秒，24V供电汽车若调节器质量不好或电瓶线松动时供电电压可能会蹿到100V以上，还有可能出现能量很大的反向脉冲电压，汽油机点火系统高达几万伏的脉冲点火电压产生强烈的电磁辐射，其他车载电子设备也有程度不同的电磁干扰，车载机的GSM部分本身也是一个强电磁辐射源，对车载机的抗干扰性能要求很高，工作在如此恶劣的电磁环境下。

5功能特别复杂。

GPS车载机的功能太复杂了，比起收音机来，为了最大限度提高设备的性价比，GPS车载机一般集成了车载电话、液晶显示（收发短消息）手柄等，高档的语音通道传输安防型设备还有中控锁遥控系统、语音提示操作等功能，既能对外报警又能打入电话查车遥控，其处理器需要对GPS、GSM等信息进行处理，要处理若干传感器信号，控制若干路输出信号（继电器、报警喇叭等等），还要进行人机界面处理，与手机、网络处理设备不同的是，这些输入输出信息不会遵守任何格式或时间方面的协议，完全是随机且杂乱无章的，比如踩刹车时GSM来了振铃，而此时GPS板的数据中出现了一个校验错误，刹车太猛又产生了发动机停车信号，在用户按下挂断键之前。有些产品的可靠性还是相当高的，即使在以上条件下，但这些设备功能都比较简单，例如汽车收音机就可以不断电连续工作数年而不出问题。就是因为车一动，实际装车的车载机出车越多问题越多，情况就复杂起来了。车载机的处理器必须保证在任何情况下都能做出正确的判断处理，这些信息组合数量非常庞大，否则就可能累积错误最终导致崩溃。

6成本要求严格。

基于国内残酷的商业竞争环境，不幸的是GPS车载机属于民用产品且处于市场起步阶段，对其制造成本要求很严，不可能像网络处理器那样采用高档的处理器和硬件芯片，也不能象手机那样通过巨大的产量降低成本而使用功能完善的操作系统，纵观国内众多生产厂家，除个别采用32位ARM处理器，大多采用16位或8位增强型处理器，更多的则直接采用C或汇编语言进行编程，软件方面有的采用了公开源码的实时操作系统。总可以采用高强度的处理器及操作系统轻松解决，再复杂的功能，比如手机、PDA。由于没有操作系统支持直接对硬件编程，相对于复杂的功能、苛刻的要求真有点“针尖上跳芭蕾”的味道，程序量多达上万行，稍有不慎就会埋下隐患，且所有细节都必须由编程实现。

7可靠性成本极高。

必须将车辆召回返修，当GPS车载机出现故障时，修复成本比起其他产品要高的多，尤其是当成批出现无法重现故障时，其解决代价几乎无法估计，若导致生命或财物损失还会引起高额索赔，必须提高可靠性，因此从经济角度计算。

GPS车载机工作环境严酷，综上所述，功能复杂，工作要求苛刻，成本限制严格，因此GPS车载机的设计、制造过程中对可靠性保证要求极高，可靠性成本高。

三、GPS车载系统存在的可靠性问题及产生原因。

1问题表现。

国内很多GPS车载机产品不尽人意，面对如此高的可靠性要求，主要有以下几个方面的表现：。

1硬件故障或失效。

出现输入无反应，车载机装车工作一段时间后，不能执行控制动作等现象；有时干脆没有任何反应，或者某个接插件松动、脱落，经检查发现某个元件已经损坏。

2区域适应问题。

引起车载机在不同城市工作效果截然不同，由于我国各城市移动公司的GSM系统设备或系统设置差异，曾经出现过有的城市连电话都打不通的现象。

3软件工作不正常。

拆下检修，一旦“下车”，用户将这些现象戏称为“晕车”，又什么都好了。跑一段时间就开始出问题：某些功能时有时无；特定条件下功能错乱，刚上车时一切正常，有的能自行恢复，功能全部失灵，有的则不能；最严重时出现死机。

2问题原因。

出现上述问题主要原因有以下几个方面：，笔者认为。

1认识不足。

匆忙上马；设计过程没有严格的理论指导及测试把关；开发出样机不经过长期考核就大量生产；一味迎合用户要求增加功能以至过于复杂最终无法把握；总是热衷于开发最先进的技术或功能；手工作坊方式组织生产等等。最典型的说法是“总不会比做手机还难吧？”，对产品的可靠性要求之高没有足够的认识。虽然功能先进但无法稳定工作，这些主观原因导致可靠性达不到要求，要么迟迟不能开通服务，最终付出惨重代价，要么产品大量退货。

2随意降低设计标准。

采用劣质的元器件、接插件、线材等，采用商业级的芯片，打价格战，目的为降低成本。

3GPS、GSM模块不能达到要求。

GPS、GSM模块的这些问题在初期曾极大地影响了整个行业的发展。如GPS模块有漂移、数据错误等，目前市场上有供货的GPS、GSM模块都存在着这样那样的问题，GSM模块则存在着死机、关机、锁死SIM卡等现象。

4设计人员经验有限。

而国内业内主要设计人员年龄基本上在30岁左右，国外许多设计人员年龄到35-40岁甚至60岁仍然工作在设计一线，GPS行业本身是一个年轻行业也是不容忽视的现实，这固然与国内“技而优则当老板”的风气有关。GPS车载机由于牵涉面广，缺乏经验足够的设计人员是制约行业发展的一个重要因素，尤其要具备相当的产品设计、制造、质量管理方面的经验，要求设计人员具有电子线路、微处理器软硬件、GSM通信、汽车电路、网络通讯等诸多方面的综合经验。例如对于24V供电系统将电源部分的电压等级设计在36V或40V且采用非隔离结构以求降低成本，经验缺乏引起大量不应出现的问题，结果上车后电源部分出现故障停机，有的大面积烧毁甚至连GSM/GPS模块都不能幸免，而软件经验的缺乏更导致了大量“晕车”机器出笼，生产过程控制不严则使产品出厂时先天不足。

其中一个最突出问题就是“不可重现故障”，目前可靠性问题已经逐渐集中到软件系统中来了。电子行业的发展使得目前的元器件、制造工艺已经完全过关，总的来看，即使出现也很容易解决；区域适应问题也随着行业经验的逐步积累以及移动公司不断升级系统得到解决，因硬件或制造工艺引起的低水平的硬故障返修已经越来越少。

机器功能错误，出现这种故障时，或者干脆失灵，但若将机器拆下检修，重新通电启动又一切正常，“死机”是最典型的不可重现故障，原来的故障现象无论如何也无法再现。

退货摆满仓库，此间投诉电话不断，信誉损失更不用说，公司士气大受打击。“不可重现故障”一般是成批出现，因为是软件问题，解决代价几乎无法估计：为防止更严重的后果，首先要停止现有产品的生产、销售，再通知用户已经售出的机器出问题有一台换一台（国外的做法是全部召回），设计人员查找原因，要进行大量的跑车试验，各种费用不计其数，运气不好的话还要到用户所在地进行。要一台一台车去改，找到原因后给用户升级软件，由于没有根治问题的把握，很难说还有没有别的问题，还要观察一段时间才能决定再开工，而如果一直找不到原因（故障很难重现，即便重现也不一定一次就能找到问题）那么至少这种机型就要一直停产等待，其损失无法估计，谁也不能明确说出何时能够解决问题。

“不可重现故障”意味着软件在逻辑上存在不止一个漏洞且这些漏洞互相牵连甚至与硬件都有牵扯。只要软件的逻辑流程是完全严密、封闭的，严格地说，则故障必然是可以重现的。“不可重现故障”即使这次解决问题，事实也证明了上述结论，过几天又可能出现新的问题，一波未平一波又起，甚至直接导致公司破产，往往导致公司决策层丧失信心投资失败。

四、提高GPS车载系统可靠性的对策。

从产品的设计、制造，任何产品都有一个可靠性问题，到销售、交付用户使用，每一个环节都可能会影响到产品的可靠性，如何解决GPS车载系统目前存在的可靠性低的问题，对提高可靠性方面有以下几点体会，我们在GPS车载机的设计、制造过程中。

1主观认识一定要提高。

无论如何强调GPS车载系统的可靠性都不算过分，从前面的论述可以看出，可以说“稳定压倒一切”，GPS行业就无法发展，整个行业面临的困境已经证明了不解决产品稳定问题。

充分理解GPS车载系统设计、制造的难度：它不同于家电、手机、电脑，必须树立“GPS车载系统是出不起问题的”思想，侥幸是过不了关的，市场无情。

2总体设计。

提高产品可靠性应从设计源头开始做起。品质管理中一个基本的原则是：品质是设计出来的，“好的开端等于成功了一半”，而不是生产出来的。

1使用成熟、可靠的技术。

几年前曾有人尝试过的小区制定位方式就是因为技术不可靠最终流产，不可靠的技术导致的结果就是产品或系统的不可靠。

2选用可靠的模块、组件。

3减少设备的功能。

无疑会提高系统的可靠性，这意味着降低系统的复杂程度。将不必要的功能一律删去。

4力争一步到位。

系统总体设计时都有一定的框架，这是很正常的，在此框架之下可以把所有问题都考虑得很清楚，硬件软件可以设计的很完善，若设计完成后又增加功能，处理不好就会产生问题，难免会突破原来的框架。但软件升级增加功能后又不行了，很多公司遇到过这样的问题：产品已经相当稳定了。用户总要提出这样那样的要求，由于市场竞争激烈，要想设计定型后不进行修改实在困难，以后增加功能尽量不突破框架，这种情况下不妨将框架设计的大一些。修改次数多了衔接部分很容易遗留后患，即使不突破，尤其是当技术人员产生流动时。

3硬件方面。

也决定了最终产品的成本，硬件设计决定了车载系统所能提供功能的上限，硬件设计方面与可靠性有关的主要有两方面因素：。

1选用好的方案。

比起昂贵的航空插座，方案还决定了成本，汽车专用插座性能毫不逊色，成本却只有前者的1/5~1/10，所有功能都由芯片完成自然要比软件模拟要贵一些，语音数据存储器完全可以用拆机旧片，因为存储器很少损坏，而语音数据即使错10%人耳也听不出来，大多是数据错误。比如斩波式DC-DC变换电路高压有可能击穿功率管直接加到主板上造成大面积烧毁，选用好的方案是从根本上解决硬件可靠性问题的方法，而隔离式电路就绝对不会，主机与手柄、LCD通信采用电压方式比较容易受干扰，GSM微弱的话音信号如果不采用差分传送则音质完全无法接受，改成电流方式就基本不须考虑。

2选用好的原材料。

就必须严格按照设计标准选用材料，一旦电路确定，这方面最容易犯的错误就是到了采购时才去想办法降低成本。实践证明，一分钱一分货，只要设计合理，硬件的可靠性是没有任何问题的，选用合格的原材料。

而是怎么打，价格战不是不能打，通过合理的设计降低电路敏感性，完全可以使用低档材料降低成本，但那是设计出来的，一旦设计确定，就不能随意改变，唯一可行的方法就是重新设计，要想大幅度降低成本。低成本也是设计出来的，必须明确。众多的失误例子已经证明：由于车载机的可靠性成本太高，用好料是不会吃亏的，通过降低原材料标准降低成本所带来的收益，结果总是得不偿失，最终总是由于可靠性成本大幅攀升而抵消或倒贴。

功能完全一样但都没有经过大批量生产检验，一些设计公司自己设计CPU或其他热门芯片投片后打上大半导体公司牌子卖，由于不是授权或购买IP生产其内部微代码很难保证完全与被仿芯片兼容，可靠性等级也没有经过认证，贸然采用这样的“芯”，出了问题根本找不到原因；除此之外还要保证采购的元件与设计规格相符合，例如同是独石电容不同材料价格相差5倍多，低档材料电容当温度低于0℃或高于60℃时容量只有标称值（25℃）的10%，若拿来做车载机结果就难以预料了，这样的电容做家电甚至手机都不会有任何问题。假冒伪劣元器件很多，目前电子元件市场鱼龙混杂，必须通过正规的采购渠道进货。

4软件方面。

1建立实时多任务操作系统。

一方面CPU等待硬件处理结果白白浪费时间，由于采用单任务方式，另一方面一些亟待处理的事件得不到处理。程序流程基本上都是单任务方式，目前大多数设计人员都习惯于采用传统的前台后台方式编程，这种方式符合人的思维习惯，但对付GPS车载机这种大信息处理量时就明显不足，当处理信息量不是很大时效果还可以。这是“不可重现故障”出现的一个重要原因。就会遗漏一些输入信号或将一些信号处理次序弄错，由于实时性不能保证，最终造成功能错误甚至程序失控死机，同样的情形处理结果可能完全不一样，由于CPU处理时间完全不确定。

我们使用的是自己针对GPS车载机特定处理对象编写的小型实时多任务操作系统，操作系统可以使用免费的也可以自己编写。

2建立封闭的功能逻辑流程表。

要进行若干处理，系统中有若干正常、异常的输入信息，再根据结果执行若干动作，这些流程组合数量巨大，但只要建立一个封闭的功能逻辑流程表将其全部包含，都可以得到正确的处理，就能保证任何情况都在预料之中。底层的硬件处理变得有章可循，当操作系统建立起来后，在此之上还要建立应用层的功能逻辑流程表以保证系统的逻辑严密性。就首先从理论上杜绝了逻辑上的漏洞，当功能逻辑流程表建立起来以后，保证了即使出现故障也都是可以重现的。

5测试方面。

主要是对软件进行测试，这里所说的测试是指设计测试而不是生产过程中的测试，很多软件不稳定问题都是可以通过测试提前发现的，测试方法越合理、测试强度越高，产品中遗留隐患的可能性越小，理论上说，是可以找出全部的问题的，如果测试方法完善。

如果按照4.二是找出不符合设计目标的部分，测试的目的一是找出软件的逻辑遗漏，或者说“笔误”。那么其逻辑流程已经是完全封闭的，2的方法设计软件系统，不会出现预料之外的情况，但有时由于考虑不周到会有遗漏，那么通过测试就可以发现，或者有些处理不当的地方。

不出问题才能认为稳定，有人认为测试应当由完全无关的人去随机“折腾”机器，实际上，封闭的功能逻辑流程表包含了机器工作中可能出现的任何情况，这样的测试远远不够，“随机”只是其中一个子集而已。

测试应当由设计人员组织有目的的进行，因此，按照既定的功能逻辑流程表制订周密的测试方案，根据表中的内容逐项测试，通过这种测试后，可以保证再怎么折腾机器都不会出问题，也就是说程序不存在任何“意外”的情况，因为无论怎么“随机”都跑不出这张表。

上路代替不了实验室模拟的全面、细致、量化性，与大多数人认为的试验室测试代替不了上路恰恰相反。测试必须在实验室进行以保证精确性和重复性，由于工作量大强度高。若对汽车实际情况不能完全把握，测试时汽车电路用模拟装置代替，可装车进行试验，再对模拟装置进行改进，找出功能逻辑流程表中遗漏的项目。

对于没有建立封闭的功能逻辑流程表或没有进行严格测试的产品，这种方法看似简单，将不亚于一场灾难。而以各种不可思议的输入事件（甚至可以制造“拔下GPS板”这样的事件试一下）连续“刺激