GPS车载系统设计制造中的可靠性问题

一、概述
      全球卫星定位系统(GPS)以其定位精度高且不受城乡地理位置影响等特点在世界范围内掀起了一股应用热潮，国内GPS行业产品主要应用于汽车防盗、车辆调度，以及物流管理等诸多方面，GPS车载系统是其中最重要的环节。
      GPS应用系统是一个庞大、复杂的系统工程，包括车载设备软硬件的设计、制造，中心监控系统软件开发，安装及售后服务系统的建立、运转，客户培训、服务系统的建立、运转等等，这些系统的建立，其投资动辄以千万元计，运转费用则高达每月上百万元，由于其担负生命及财产安全的保卫任务，可靠工作成为系统设计、建立、运转的头等大事。
      单纯从技术角度看，随着信息技术的发展，计算机软硬件系统、网络技术已经成为高度成熟的技术，因而涉及到这些方面的可靠性问题相对较少，也比较容易解决，相比之下，由于种种原因，车载系统设计、制造中的可靠性问题变得相当突出，已经成为目前制约行业发展的瓶颈因素。

二、GPS车载系统对可靠性的要求
      以下几个方面决定了对GPS车载系统的可靠性要求是极高的：
      1、工作要求苛刻
      GPS车载系统担负安全防范、管理调度重任，要求在任何时刻都能够呼的应、叫的通，必须24小时全天候工作，尤其是安防型产品更要在关键时刻发挥作用，因此车载机必须能够长年累月的正常工作而不允许出现关机、死机、功能错乱等现象，其工作要求远远超出了家电、手机、甚至汽车的电脑系统，这些系统中CPU可以通过关机、换电池、断电等方式重新启动而清除累积的错误状态，即使出错也不会造成大的损失，而GPS车载机工作不正常则有可能造成财产甚至生命损失。GPS车载机的工作要求达到了与大型网络服务器、电信通讯系统同等要求的程度，必须按照通讯系统不间断工作的可靠性要求去设计、生产车载机，人工对GPS车载机进行断电、复位都是不允许的，在GPS车载机上安装电源开关。复位按钮是不可想象的。随便举个例子说明一下：
      假定车载机软件故障时间是6个月即平均每工作l80天才出一次问题，这个指标对家电、手机、电脑、汽车意味着绝对可靠，因为他们永远不会连续工作l80天，甚至10天都不会，而头10天软件错误累积可以认为是0，只要一关机、断电，软件状态又会从零开始。实际上电脑有时连10个小时都坚持不住而死机，但我们认为电脑已经很可靠了，因为我们2个小时就做完工作关机了，就算有时2小时都坚持不住，大不了重新启动一次。而车载机必须长年累月连续工作，若市场上运转的机器达到2000台，就意味着平均每天有l0台机器出故障，要是卖到2万台、20万台呢?答案是不可能，因为用户不敢再买了。
      2、工作环境严酷
      GPS车载系统工作于车上，按照汽车工业的标准，车载电子设备的设计标准介于工业级和军级之间，其最重要的指标就是环境温度范围，工作于发动机舱的设备要求工作温度范围为-40-125℃，其余地方要求为-40-85℃，车载GPS设备一般安装在汽车仪表板下面，有些车况不太好的汽车，发动机热量会泄漏到这里，汽车长时间工作后温度很高。我们实测若千辆连续工作近20小时的出租车，仪表板下安装车载机的部位有的温度达到了80℃，机器内部GPS板CPU芯片表面温度甚至达到了88℃。由于我国幅员辽阔最北方冬季气温可低达—30℃以下，对车载机的低温工作特性也提出了严格的要求。
      由于汽车是室外工作，还会遇到水汽、灰尘、油污、腐蚀性气体、液体等各种不利因素。因此，GPS车载机的工作环境极为严酷的，如果将电信的交换机设备置于如此环境之下工作，恐怕早就瘫痪了。
      3、震动、冲击强烈
      车载机安装于飞驰的汽车之上，汽车行驶中的震动不可避免的要传到车载机上，一般产品只要达到运输抗震要求就可以了，可以通过在包装上做文章来解决，车载机却是机器本身长期承受剧烈震动，对其抗震性能要求很高。当发生撞车时即使车身撞烂车载机也必须保证能正常工作以进行报警，因而又要求机器能承受强烈的冲击。
      4、电磁环境恶劣
      车载机由汽车电瓶供电，电压波动范围宽，汽车启动瞬间l2V的汽车电瓶电压可能跌到5V以下，这个“瞬间”有时长达l0秒，24V供电汽车若调节器质量不好或电瓶线松动时供电电压可能会蹿到100V以上，还有可能出现能量很大的反向脉冲电压，汽油机点火系统高达几万伏的脉冲点火电压产生强烈的电磁辐射，其他车载电子设备也有程度不同的电磁干扰，车载机的GSM部分本身也是一个强电磁辐射源，工作在如此恶劣的电磁环境下，对车载机的抗干扰性能要求很高。
      5、功能特别复杂
      即使在以上条件下，有些产品的可靠性还是相当高的，例如汽车收音机就可以不断电连续工作数年而不出问题，但这些设备功能都比较简单。比起收音机来，GPS车载机的功能太复杂了，为了最大限度提高设备的性价比，GPS车载机一般集成了车载电话、液晶显示(收发短消息)手柄等，高档的语音通道传输安防型设备还有中控锁遥控系统、语音提示操作等功能，既能对外报警又能打入电话查车遥控，其处理器需要对GPS、GSM等信息进行处理，要处理若干传感器信号，控制若干路输出信号(继电器、报警喇叭等等)，还要进行人机界面处理，与手机、网络处理设备不同的是，这些输入输出信息不会遵守任何格式或时间方面的协议，完全是随机且杂乱无章的，比如踩刹车时GSM来了振铃，而此时GPS板的数据中出现了一个校验错误，在用户按下挂断键之前，刹车太猛又产生了发动机停车信号。这些信息组合数量非常庞大，车载机的处理器必须保证在任何情况下都能做出正确的判断处理，否则就可能累积错误最终导致崩溃。实际装车的车载机出车越多问题越多，就是因为车一动，情况就复杂起来了。
      6、成本要求严格
      再复杂的功能，总可以采用高强度的处理器及操作系统轻松解决，比如手机、PDA。不幸的是GPS车载机属于民用产品且处于市场起步阶段，基于国内残酷的商业竞争环境，对其制造成本要求很严，不可能像网络处理器那样采用高档的处理器和硬件芯片，也不能像手机那样通过巨大的产量降低成本而使用功能完善的操作系统，纵观国内众多生产厂家，除个别采用32位ARM处理器，大多采用16位或8位增强型处理器，软件方面有的采用了公开源码的实时操作系统，更多的则直接采用C或汇编语言进行编程。相对于复杂的功能，苛刻的要求真有点“针尖上跳芭蕾”的味道，由于没有操作系统支持直接对硬件编程，程序量多达上万行，且所有细节都必须由编程实现，稍有不慎就会埋下隐患。
      7、可靠性成本极高
      当GPS车载机出现故障时，必须将车辆召回返修，修复成本比起其他产品要高的多，尤其是当成批出现无法重现故障时，其解决代价几乎无法估计，若导致生命或财物损失还会引起高额索赔，因此从经济角度计算，必须提高可靠性。
      综上所述，GPS车载机工作环境严酷，功能复杂，工作要求苛刻，成本限制严格，可靠性成本高，因此GPS车载机的设计、制造过程中对可靠性保证要求极高。

三、GPS车载系统存在的可靠性问题及产生原因
      1、问题表现
      面对如此高的可靠性要求，国内很多GPS车载机产品不尽人意，主要有以下几个方面的表现：
      a、硬件故障或失效
      车载机装车工作一段时间后，出现输入无反应，不能执行控制动作等现象；有时干脆没有任何反应，经检查发现某个元件已经损坏，或者某个接插件松动、脱落。
      b、区域适应问题
      由于我国各城市移动公司的GSM系统设备或系统设置差异，引起车载机在不同城市工作效果截然不同，曾经出现过有的城市连电话都打不通的现象。
      c、软件工作不正常
      刚上车时一切正常，跑一段时间就开始出问题：某些功能时有时无；特定条件下功能错乱，有的能自行恢复，有的则不能；最严重时出现死机，功能全部失灵。一旦“下车”，拆下检修，又什么都好了，用户将这些现象戏称为“晕车”。
      2、问题原因
      出现上述问题主要原因有以下几个方面：
      a、认识不足
      对产品的可靠性要求之高没有足够的认识，最典型的说法是“总不会比做手机还难吧?”。匆忙上马；设计过程没有严格的理论指导及测试把关；开发出样机不经过长期考核就大量生产；一味迎合用户要求增加功能以至过于复杂最终无法把握；总是热衷于开发最先进的技术或功能；手工作坊方式组织生产等等。这些主观原因导致可靠性达不到要求，虽然功能先进但无法稳定工作，要么迟迟不能开通服务，要么产品大量退货，最终付出惨重代价。
      b、随意降低设计标准
      采用商业级的芯片，采用劣质的元器件、接插件、线材等，目的为降低成本，打价格战。
      c、GPS、GSM模块不能达到要求
      目前市场上有供货的GPS、GSM模块都存在着这样那样的问题，如GPS模块有漂移、数据错误等，GSM模块则存在着死机、关机、锁死SIM卡等现象。GPS、GSM模块的这些问题在初期曾极大地影响了整个行业的发展。
      d、设计人员经验有限
      缺乏经验足够的设计人员是制约行业发展的一个重要因素，GPS车载机由于牵涉面广，要求设计人员具有电子线路、微处理器软硬件，GSM通信、汽车电路、网络通讯等诸多方面的综合经验，尤其要具备相当的产品设计、制造、质量管理方面的经验。国外许多设计人员年龄到35—40岁甚至60岁仍然工作在设计一线，而国内业内主要设计人员年龄基本上在30岁左右，这固然与国内“技而优则当老板”的风气有关，GPS行业本身是一个年轻行业也是不容忽视的现实。经验缺乏引起大量不应出现的问题，例如对于24V供电系统将电源部分的电压等级设计在36V或40V且采用非隔离结构以求降低成本，结果上车后电源部分出现故障停机，有的大面积烧毁甚至连GSM／GPS模块都不能幸免，生产过程控制不严则使产品出厂时先天不足，而软件经验的缺乏更导致了大量“晕车”机器出笼。
      总的来看，电子行业的发展使得目前的元器件、制造工艺已经完全过关，因硬件或制造工艺引起的低水平的硬故障返修已经越来越少，即使出现也很容易解决；区域适应问题也随着行业经验的逐步积累以及移动公司不断升级系统得到解决。目前可靠性问题已经逐渐集中到软件系统中来了，其中一个最突出问题就是“不可重现故障”。
      出现这种故障时，机器功能错误，或者干脆失灵，但若将机器拆下检修，重新通电启动又一切正常，原来的故障现象无论如何也无法再现，“死机”是最典型的不可重现故障。因为是软件问题，“不可重现故障”一般是成批出现，解决代价几乎无法估计：为防止更严重的后果，首先要停止现有产品的生产、销售，再通知用户已经售出的机器出问题有一台换一台(国外的做法是全部召回)，设计人员查找原因，要进行大量的跑车试验，运气不好的话还要到用户所在地进行，各种费用不计其数。此间投诉电话不断，退货摆满仓库，公司士气大受打击，信誉损失更不用说。找到原因后给用户升级软件，要一台一台车去改，由于没有根治问题的把握，很难说还有没有别的问题，还要观察一段时间才能决定再开工，而如果一直找不到原因(故障很难重现，即便重现也不一定一次就能找到问题)那么至少这种机型就要一直停产等待，谁也不能明确说出何时能够解决问题，其损失无法估计。
      严格地说，只要软件的逻辑流程是完全严密、封闭的，则故障必然是可以重现的。“不可重现故障。意味着软件在逻辑上存在不止一个漏洞且这些漏洞互相牵连甚至与硬件都有牵扯。事实也证明了上述结论，“不可重现故障”即使这次解决问题，过几天又可能出现新的问题，一波未平一波又起，往往导致公司决策层丧失信心投资失败，甚至直接导致公司破产。

四、提高GPS车载系统可靠性的对策
      任何产品都有一个可靠性问题，从产品的设计、制造，到销售、交付用户使用，每一个环节都可能会影响到产品的可靠性。如何解决GPS车载系统目前存在的可靠性低的问题?我们在GPS车载机的设计、制造过程中，对提高可靠性方面有以下几点体会。
      1、主观认识一定要提高
      从前面的论述可以看出，无论如何强调GPS车载系统的可靠性都不算过分，可以说“稳定压倒一切”，整个行业面临的困境已经证明了不解决产品稳定问题，GPS行业就无法发展。
      必须树立“GPS车载系统是出不起问题的”思想，充分理解GPS车载系统设计、制造的难度：它不同于家电、手机、电脑，市场无情，侥幸是过不了关的。
      2、总体设计
    “好的开端等于成功了一半”，品质管理中一个基本的原则是：品质是设计出来的，而不是生产出来的。提高产品可靠性应从设计源头开始做起。
      a、使用成熟、可靠的技术。
      不可靠的技术导致的结果就是产品或系统的不可靠，几年前曾有人尝试过的小区制定位方式就是因为技术不可靠最终流产。
      b、选用可靠的模块、组件。
      c、减少设备的功能。
      将不必要的功能一律删去。这意味着降低系统的复杂程度，无疑会提高系统的可靠性。
      d、力争一步到位。
      很多公司遇到过这样的问题：产品已经相当稳定了，但软件升级增加功能后又不行了。这是很正常的，系统总体设计时都有一定的框架，在此框架之下可以把所有问题都考虑得很清楚，硬件软件可以设计的很完善，若设计完成后又增加功能，难免会突破原来的框架，处理不好就会产生问题。即使不突破，修改次数多了衔接部分很容易遗留后患，尤其是当技术人员产生流动时。由于市场竞争激烈，用户总要提出这样那样的要求，要想设计定型后不进行修改实在困难，这种情况下不妨将框架设计的大一些，以后增加功能尽量不突破框架。
      3、硬件方面
      硬件设计决定了车载系统所能提供功能的上限，也决定了最终产品的成本，硬件设计方面与可靠性有关的主要有两方面因素：
      a、选用好的方案。
      选用好的方案是从根本上解决硬件可靠性问题的方法，比如斩波式DC—DC变换电路高压有可能击穿功率管直接加到主板上造成大面积烧毁，而隔离式电路就绝对不会，主机与手柄、LCD通信采用电压方式比较容易受干扰，改成电流方式就基本不须考虑，GSM微弱的话音信号如果不采用差分传送则音质完全无法接受。方案还决定了成本，比起昂贵的航空插座，汽车专用插座性能毫不逊色，成本却只有前者的l／5-l／10，所有功能都由芯片完成自然要比软件模拟要贵一些，语音数据存储器完全可以用拆机旧片，因为存储器很少损坏，大多是数据错误，而语音数据即使错l0%人耳也听不出来。
      b、选用好的原材料。
      一分钱一分货，实践证明，只要设计合理，选用合格的原材料，硬件的可靠性是没有任何问题的。一旦电路确定，就必须严格按照设计标准选用材料，这方面最容易犯的错误就是到了采购时才去想办法降低成本。
    必须明确，低成本也是设计出来的。价格战不是不能打，而是怎么打，通过合理的设计降低电路敏感性，完全可以使用低档材料降低成本，但那是设计出来的，一旦设计确定，就不能随意改变，要想大幅度降低成本，唯一可行的方法就是重新设计。用好料是不会吃亏的，众多的失误例子已经证明：由于车载机的可靠性成本太高，通过降低原材料标准降低成本所带来的收益，最终总是由于可靠性成本大幅攀升而抵消或倒贴，结果总是得不偿失。
    目前电子元件市场鱼龙混杂，假冒伪劣元器件很多，必须通过正规的采购渠道进货。一些设计公司自己设计CPU或其他热门芯片投片后打上大半导体公司牌子卖，功能完全一样但都没有经过大批量生产检验，由于不是授权或购买IP生产其内部微代码很难保证完全与被仿芯片兼容，可靠性等级也没有经过认证，贸然采用这样的“芯”，出了问题根本找不到原因。除此之外还要保证采购的元件与设计规格相符合，例如同是独石电容不同材料价格相差5倍多，低档材料电容当温度低于0℃或高于60℃时容量只有标称值(25℃)的10％，这样的电容做家电甚至手机都不会有任何问题，若拿来做车载机结果就难以预料了。
      4、软件方面
      a、建立实时多任务操作系统。
      目前大多数设计人员都习惯于采用传统的前台后台方式编程，程序流程基本上都是单任务方式，这种方式符合人的思维习惯，当处理信息量不是很大时效果还可以，但对付GPS车载机这种大信息处理量时就明显不足。由于采用单任务方式，一方面CPU等待硬件处理结果白白浪费时间，另一方面一些亟待处理的事件得不到处理。由于实时性不能保证，就会遗漏一些输入信号或将一些信号处理次序弄错，最终造成功能错误甚至程序失控死机，由于CPU处理时间完全不确定，同样的情形处理结果可能完全不一样。这是“不可重现故障”出现的一个重要原因。
      操作系统可以使用免费的也可以自己编写，我们使用的是自己针对GPS车载机特定处理对象编写的小型实时多任务操作系统。
      b、建立封闭的功能逻辑流程表，当操作系统建立起来后，底层的硬件处理变得有章可循，在此之上还要建立应用层的功能逻辑流程表以保证系统的逻辑严密性。系统中有若干正常、异常的输入信息，要进行若干处理，再根据结果执行若干动作，这些流程组合数量巨大，但只要建立一个封闭的功能逻辑流程表将其全部包含，就能保证任何情况都在预料之中，都可以得到正确的处理。当功能逻辑流程表建立起来以后，就首先从理论上杜绝了逻辑上的漏洞，保证了即使出现故障也都是可以重现的。
      5、测试方面
      这里所说的测试是指设计测试而不是生产过程中的测试，主要是对软件进行测试，很多软件不稳定问题都是可以通过测试提前发现的，测试方法越合理、测试强度越高，产品中遗留隐患的可能性越小，理论上说，如果测试方法完善，是可以找出全部的问题的。
      测试的目的一是找出软件的逻辑遗漏，二是找出不符合设计目标的部分，或者说“笔误”。如果按照建立封闭的功能逻辑流程表的方法设计软件系统，那么其逻辑流程已经是完全封闭的，不会出现预料之外的情况，但有时由于考虑不周到会有遗漏，或者有些处理不当的地方，那么通过测试就可以发现。
      有人认为测试应当由完全无关的人去随机“折腾”机器，不出问题才能认为稳定，实际上，封闭的功能逻辑流程表包含了机器工作中可能出现的任何情况，“随机”只是其中一个子集而已，这样的测试远远不够。
      因此，测试应当由设计人员组织有目的的进行，按照既定的功能逻辑流程表制订周密的测试方案，根据表中的内容逐项测试，通过这种测试后，可以保证再怎么折腾机器都不会出问题，因为无论怎么“随机”都跑不出这张表，也就是说程序不存在任何“意外”的情况。
      测试工作量是巨大的，我们生产的安防型车载机这张表格就多达28万项，测试过程进行了8个多月。
      由于工作量大强度高，测试必须在实验室进行以保证精确性和重复性。与大多数人认为的试验室测试代替不了上路恰恰相反，上路代替不了实验室模拟的全面、细致、量化性。测试时汽车电路用模拟装置代替，若对汽车实际情况不能完全把握，可装车进行试验，找出功能逻辑流程表中遗漏的项目，再对模拟装置进行改进。
      评价一台车载机工作是否稳定的方法是：正常的功能不必试验，而以各种不可思议的输入事件(甚至可以制造“拔下GPS板”这样的事件试一下)连续“刺激”车载机(高强度测试可能持续数天，中间不能人为断电、复位)，车载机在任何情况下都不能产生不可理解的动作，尤其重要的是当所有事件结束后车载机所有功能仍应保持正常。这种方法看似简单，对于没有建立封闭的功能逻辑流程表或没有进行严格测试的产品，将不亚于一场灾难。
      6、制造方面
      首先应严格遵照IS09000标准进行生产组织管理，这样才能保证生产出的每一台机器都是符合设计要求的。在具体的生产工艺中，应着重抓好测试工艺，要保证所有的环节都是经过测试的。
      生产是机器的硬件制造过程，电路可靠性是由硬件设计保证的，元器件可靠性由采购过程保证，功能则由软件设计保证，由于全部数字处理，也不存在指标高低问题，因此生产测试的原则是只测电路好坏，不测功能，例如报警功能、短消息的收发等等，生产线上是没必要测试的。GPS车载机制造过程测试项目多但工艺非常简单，符合流水作业的要求，既保证了硬件质量，又节约工时降低了成本。
      7、安装方面
      安装是机器交付用户的最后一关，安装对提高车载机的可靠性是大有讲究的。
现在，很多工业级或军级产品都采用了“商业级+空调”或“工业级+空调”的新思路，比如电信的恒温恒湿机房，军队雷达站等。通过改善设备的工作条件，大大提高了设备的可靠性，因此将车载机尽量安装在环境条件相对好一些的地方，例如轿车的座位下、后备箱中，可以明显降低环境温度，减少出故障的可能。
      产品可靠性低已经对GPS行业发展产生了深远影响。粗略统计目前国内自称能做GPS车载机产品的公司有200多家，还有更多公司准备上马，所有的人都说只要产品质量好市场没问题，国家也把GPS作为重点扶持的项目进行推广，但至今为止市场认可的产品寥寥无几，更没有形成真正意义的产业，而最早做的公司大多已成为烈土或已改行，经销商普遍对国产GPS车载机信心不足而提高经销门槛，态度也由当初的狂热吹捧变为今天的冷眼观望；由于做的滥、质量过不了关，投资人将GPS行业认定为“竞争太大，市场发展不明确”，导致全行业很难获得融资机会。本人愚见以为提高产品可靠性是行业发展的真正突破点。
以上提出了我们在设计、生产GPS车载系统中对可靠性问题的一些认识和体会，希望能够抛砖引玉，与同行共同交流，为提高国产GPS车载设备的可靠性出谋划策，尽心尽力。