Ve třetím dílu seriálu o splašeném busu z Kladna jsme se věnovali tomu, co by se dalo nazvat provozní bezpečností plynového pedálu z předmětného Iveca Citelis 12M. Skončili jsme u toho, že pedál byl v takovém stavu, že jeho zaseknutí během životnosti vozidla bylo pravděpodobné. V tomto článku se zaměříme na to, co by se dalo nazvat bezpečností funkční.
Plynový pedál je zajímavý v tom, že jeho design do určité míry definuje zákon, a to konkrétně U.S. federální kodex v části 49, § 571.124 Standard No. 124; Accelerator control systems. Zkráceně tomu budeme říkat FMVSS 124. Netřeba si lámat hlavu s tím, že je to U.S. federální norma, vztahuje se totiž na všechna vozidla, která jsou ve Spojených státech uváděna na trh. Žádný výrobce nemůže říct, že jeho výrobek někdo nevyveze do Spojených států, a tak se z FMVSS 124 stala něco jako oborová norma definující stav techniky. Kdyby někdo vymyslel akcelerační systém nebo komponent, který neodpovídá FMVSS 124, pravděpodobně ho neprodá, protože se nenajde nikdo dost šílený, kdo by ho namontoval do svého auta, tedy snad kromě nějakých afrických zemí, Severni Koreje a pak ještě někoho.
První požadavek FMVSS 124 na akcelerační systém je, že musí existovat dva zdroje energie schopné navrátit akcelerační zařízení do volnoběhu, jakmile na něj řidič přestane šlapat. Tím zdrojem energie bývá nejčastěji pružina nejrůznějšího provedení, tlačná nebo zkrutná.
FMVSS 124 se na akcelerační zařízení dívá jako na systém, neřeší tedy, z čeho je sestaven, říká jen, že tento systém musí mít nějaké vlastnosti. Pro moderní systémy řízení akcelerace to není úplně výhodné, protože nejprve převedou polohu pedálu na elektrický signál, ten pošlou někam do počítače, ten ho přechroupe, udělá z něj zase jiný signál a nastavuje podle něj polohu škrtící klapky nebo regulátoru vstřikovací pumpy, a ve všech těchto místech je třeba řešit dodržení požadavku na redundanci. Elektronický plynový pedál tak má dvě vratné pružiny, škrtící klapka má také dvě vratné pružiny a v rozšířeném smyslu to vede i k elektrické a softwarové redundanci, kdy senzory polohy mají dva nezávislé kanály a řídící jednotka má tři nezávislá jádra (pro kritická data, watchdog a pro nekritická data).
Pedál našeho „splašeného“ autobusu však neměl žádnou vratnou pružinu. Jeho vracení do volnoběhu bylo zajišťováno vratnou pružinou senzoru Bosch PWG-3.
Nyní si řekneme něco o tom, jak vlastně postupovat, když se rozhodnete postavit auto. Automobily jsou něco jako skládanka ze součástek, které vyrábí samotná automobilka (typicky karosérie, motor a podobně) a pak součástek, které se automobilce vyvíjet ani vyrábět nevyplatí. Plynový pedál je jednoznačně ten druhý případ. Je to bezpečnostně relevantní prvek, tomu odpovídá rozsah různých opatření, která při jeho vývoji musíte učinit a vyvinout ho tak, aby splňoval všechny požadavky národních a nadnárodních legislativ a jednotlivých zákazníků není levné ani snadné.
Pokud byste chtěli vyrobit auto a chyběl vám plynový pedál, budete ho buď muset zkonstruovat sami, nebo kontaktovat nějakého výrobce pedálů, třeba Hella, Kyocera nebo CTS, prozkoumat jeho portfolio, vybrat si nějaký šikovný pedál a získat od něj technickou dokumentaci. To je právně závazný dokument, ve kterém jsou popsány všechny funkce a parametry, které zamýšlený pedál má. Také jsou tam popsány různé omezující podmínky užití takového pedálu a je tam také uvedeno, jaké testy na něm byly provedeny. Pokud se vám nepovede najít něco off-the-shelf, jako třeba jistá automobilka Ferrari použila pedál z FIATu Punto, tak rozbijte prasátko, protože aplikační vývoj jednoho pedálu stojí něco mezi 20 až 150 tisíci EUR. Tuto částku ovlivňuje zejména nutnost pořízení specifických nástrojů a zkoušky. Například Hella to dělá velmi chytře, protože se snaží být aktivní už v momentu, kdy automobilka konstruuje platformu pro vozidlo a pomáhá mu napasovávat příslušné partie na existující pedál, což zákazníkovi snižuje náklady, Hella má zase menší variace v portfoliu a díky tomu může udržovat vysoký stupeň automatizace výroby. Takže pokud stavíte auto od nuly, volejte jako první do Helly.
Vzhledem k vysokým vstupním poplatkům pedálové rulety se čas od času najde vychytralý jezedák, který dostane skvělou myšlenku, že si pedál postaví sám. Myslím, že to byl i případ tohoto autobusu Citelis a té hrozné věci, co tam ovládá akceleraci.
V případě senzoru PWG-3 z Bosche Eisenach se zmíněný závazný dokument nazývá německy Technische Kundenunterlagen neboli TKU, má číslo Y 132 K15 022 E a pochází z roku 1996. Tento dokument je neveřejný, tzn. jen Bosch definuje, komu ho vydá nebo ukáže. Dokument nebyl nijak obsáhlý, nicméně nebylo v něm nikde uvedeno, že by vratnou pružinu senzoru PWG-3 bylo možné využívat k obsluze nějakého externího systému nebo dokonce realizaci jeho bezpečnostně relevantních charakteristik. Pružina v senzoru je tak určena pouze k realizaci bezpečnostního konceptu senzoru a k ničemu jinému.
Jinými slovy, dvojitou torzní pružinu senzoru PWG-3 němečtí inženýři navrhli tak, aby v rámci tolerancí nejslabší pružina byla vždy schopna vrátit senzor s největšími pasívními odpory, a to během celé životnosti senzoru, čímž zajistili pro svůj komponent splnění FMVSS 124. Pro průměrné senzory a průměrné pružiny nacházející se kolem středu pomyslné Gaussovy křivky vznikal určitý přebytečný moment, který použili inženýři z Iveca pro vracení celého pedálu. Tento přístup však funguje jen do doby, než se přebytečný moment v systému spotřebuje na něco jiného (například ho „požerou“ pasivní odpory vznikající jinde, třeba v důsledku korodujícího uložení pedálu) nebo se pružiny v senzoru PWG-3 unaví, případně se sejde nějaká nevhodná kombinace součástek a vnějších vlivů.
Kromě toho se pružina, bez ohledu na to, že byla určena na něco jiného, se musela s každým zdrojem parazitního momentu v pedálu mnohem více „poprat“, protože celý ten pákový mechanismus má nějaký převodový poměr daný jeho geometrií. Konstrukce, kterou výrobce zvolil, tak je citlivá na nárůst odporů v mechanismu.
Tento způsob práce s bezpečnostně relevantními systémy je podle mého názoru ukázkou naprosté technické indolence a gamblingem s životy a zdravím cestujících. Pedál měl být navržen tak, aby se byl vždy schopen vrátit do volnoběhu bez ohledu na stav pružiny v senzoru. Tedy, měl mít svoje vlastní vratné pružiny.
Když ponechám stranou příšerný design pedálu, odpovídající spíše pedálu z nějakého zemědělského nebo stavebního stroje, jeho korodující uložení a potenciálně nefunkční haptický element mající signalizovat vyvolání kickdown funkce, je zde přítomna systémová bezpečnostní chyba, která vznikla na úrovni návrhu. Pedál evidentně navrhoval někdo, kdo neměl vůbec tušení, s čím tady zachází. Rovněž firemní procesy ve firmě Iveco by měly někomu stát za pozornost, protože takto navržený pedál nemůže ve zdraví přestát správně provedenou analýzu příčin a následků poruch (FMEA). Všechny autobusy s tímto pedálem patří podle mého názoru stáhnout z provozu.
Bylo jen otázkou času, kdy se něco stane, a protože autobusy jsou dosud v provozu, tak je jen otázkou času, kdy se to stane znovu. Jak se asi spí tomu jedinci, co tuto věc navrhl a jak se spí tomu, kdo to schválil?
Ale to ještě nejsme u konce.
FMVSS 124 stanoví ještě něco. Nejen že předepisuje design systémů ovládání akcelerace, ale také definuje jejich reakční dobu. V bodě 5.3 stanoví, že systém ovládaní akcelerace se musí vrátit odkudkoli do volnoběhu za nejvýše 2 sekundy (pro vozidla nad 4536 kg).
Ani zde náš pomatený autobus nijak nevynikal. Podklady o tom dodal sám znalec Hanzlík, sice ne zcela spontánně, ale dodal. K výzvě soudu totiž vydal dokument nadepsaný „PŘÍLOHY k podkladům vyžádaným ing. Jiřím Hanzlíkem dne 16.6.2021 k společné prohlídce autobusu Citelis výrobní číslo VNEPS09D50M000456 z 30.6.2020“ , kde byly grafy s náměry toho, co zjistili zástupci firmy Iveco pomocí onboard diagnostiky. Provedli to, že šlápli na pedál, nechali ho vrátit a když zjistili, že se vrací, vzali to jako kladný výsledek, aniž by se tím nějak detailně zaobírali.
Jak však z jejich grafu po detailnějším prostudování vyplynulo, v čase 81 s technik uvolnil pedál plynu a ten dospěl do volnoběhu v čase 82,2 s. Pedál tedy potřeboval k návratu do volnoběhu 1,2 s. To je neobvykle hodně. Všechny pedály, co jsem kdy viděl, se vracely za běžných teplot za nějakých 200 ms. I velmi opotřebované pedály například z vozidel velšské ambulance (oblíbený testovací ústav jedné nejmenované automobilky) se se vracely za 300 ms i s jednou pružinou záměrně demontovanou. Hodnota 1200 ms je nepřijatelně dlouhá a naznačuje, že s pedálem buď skutečně nebylo všechno v pořádku, nebo ten pokus byl proveden nějak chybně. Ale to už se nedozvíme, protože video z toho pan znalec nenatočil, mechanickou část pedálu někdo zahodil a pokus již reprodukovat nelze… nicméně okamžik, kdy obžaloba dodává perfektní munici obhajobě, je poměrně zábavný.
Ještě zajímavější je sledovat, jak se choval celý systém. V čase 82,2 s, kdy se pedál plynu dopotácel do volnoběhu, motor ještě pořád běžel na 1700 otáček, což je poblíž jeho maximálních otáček. Čtenáři jistě sami uváží, zda by se někdy chtěli ocitnout za volantem vozidla, u kterého pustí pedál plynu, ten se za vteřinu a něco vrátí do volnoběhu, a v ten moment motor pořád ještě frčí skoro plnými otáčkami. Jako řidič jste tak v kuriózní situaci. Zcela jste uvolnili plyn, ale motor stále dodává na kola maximální moment. To je autobus, ve kterém nechcete sedět.
Protože technik firmy Iveco nelogoval signál škrtící klapky, není možné určit, zda akcelerační systém autobusu vyhověl FMVSS-124, ale kdybychom počítali běžnou reakční dobu řídící jednotky 300 ms a reakční dobu použité škrtící klapky Bosch DVE-5 500 ms, bude celá sestava právě limitní.
Motor dosáhl volnoběžných otáček v čase 84,5 s, tedy celých 3,5 s od momentu, kdy řidič sundal nohu z plynu. Jak vyplynulo z videozáznamu, řidič Blaňár měl na vyřešení celé krize asi 9 sekund. Z tohoto času mu více než třetinu ukousla reakce systému řízení akcelerace a motoru autobusu Iveco.
Zástupce fy Iveco k tomu uvedl, že „(n)eshledali jsme žádné závady na snímači plynového pedálu a ani na komunikaci mezi pedálem a řídící jednotkou vozu (VCM).“ A já jsem zase shledal, že tohle je účelová a vyhýbavá odpověď. Na snímači pozice ani v komunikaci skutečně žádná chyba nebyla, ale copak ten zbytek? Co ten rezatej pedál, co byl „bez problému“? A co stav mechaniky pedálu a porovnání reakčních dob systému s návrhovými parametry, které Iveco nutně musí znát?
Právě v tomto momentu jsem k zástupcům firmy Iveco ztratil jakékoli zbytky profesionálního respektu. I u nich zjevně převážil zájem celou věc zahrát do ztracena.
Když se přeneseme do světa blízkého überznalci Vémolovi, totiž do Škody 120, tak budeme muset konstatovat, že tehdejší inženýři z Boleslavi byli podstatně prozíravější než jejich kolegové z Iveca, protože nejspíš nechtěně splnili FMVSS 124. První zkrutná pružina se nacházela na pedálu, druhá zkrutná na škrtící klapce karburátoru Jikov, a systém tvořený soustavou pedál-struna-klapka měl dva nezávislé zdroje mechanické energie k návratu. Stará škodárna, pro kterou nikdo nemá pozitivních slov, tak disponovala lepší inherentní bezpečností než „moderní“ autobus.
Ale ani tady nejsme u konce.
Autobus Iveco Citelis 12M měl pedál brzdy a plynu vedle sebe napravo od hřídele volantu, ostatně jako většina podobných vozidel. Oba tyto pedály jsou podobně velké, mají podobnou kinematiku (pivot point u podlahy) a oba jsou řešeny jako „stojací“.
Je tam skoro všechno špatně. Takové uspořádání je extrémně náchylné na záměnu pedálů. Bylo provedeno velmi mnoho studií o tom, za jakých okolností může noha sklouznout z pedálu brzdy na plyn, a tento design opakovaně vychází jako nejvíce problematický. V místě heel pointu je na podlaze navíc nanýtovaný ještě jakýsi plech, který měl asi zabránit proklouznutí paty, ale v případě busu 2ST7355 byl už tak opotřebovaný, že spíš fungoval jako pomůcka pro usnadnění klouzání.
Plech pomáhal hromadění nečistot v okolí pedálu a omezoval jeho kontrolu a údržbu. Chyby kam se člověk podívá. Celé je to hloupě a amatérsky navrženo někým, kdo vůbec neměl ani ponětí, a vůbec je mi záhadou, jak vůbec mohl být takový prasečí design uvolněn pro sériovou výrobu.
Měl autobus něco správně? Údajně měl implementovaný algoritmus „last action wins“ údajně fungující tak, že brzda má prioritu nad plynem. Přezkoušet jsme to nemohli, protože to vyžadovalo jízdní test. Nicméně jestli software řídící jednotky byl stejně dobrý jako hardware pedálu, tak bych se na to raději moc nespoléhal.
Tak tedy prodnes tolik nějaké technikálie. Znáte to, individuální doprava je nebezpečná a riskantní, ale veřejná doprava je oázou bezpečnosti a profesionality. Dejte pozor, do čeho nastupujete, držte se od autobusů dál, zvlášť pokud je na nich napsáno Iveco a kdybyste náhodou zjistili, že na vás něco jede, tak zdrhejte do míst, kudy už to projelo.
Poté, co jsem se celým tímto retardovaným technickým řešením pedálu seznámil, vzpomněl jsem si na větu, která pravidelně zaznívala v tom televizním dokumentu o různých fuckupech. Vteřiny před katastrofou nebo tak nějak. Ta věta zněla asi takto: „Nehody se nestávají jen tak. Jsou řetězem kritických událostí“.
Řetěz kritických událostí tak podle mého vypadal takto. Řidič Blaňár ve svých fešáckých pantoflích usedá do busu, aby s ním najel k zastávkovému stání. Bohužel pro něho a následně pro děti sedící na nástupišti nohama do silnice, pedál si zrovna nastřádal do kasičky ve spodním uložení nášlapné desky svoje produkty koroze a svinstvo z podlahy, a vratná pružina senzoru už není s to zajistit, aby pedál kopíroval pohyb Blaňárova chodidla. Někdy v průběhu tohoto manévru sešlápne plyn, ale motor není s to ihned vyvinout potřebný kroutící moment a tak se bus rozjíždí relativně pomalu. V tento moment ještě není řidiči nic nápadné, ale akceleraci už neovládá, o to se nyní starají různé fyzikální procesy v motoru. V motoru se během rozjezdu za pár sekund vykompenzují různá dopravní zpoždění, turbo začne zvyšovat plnící tlak v sání a točivý moment začne narůstat. Autobus se přestane loudat a připravuje se být raketa. Nárůst točivého momentu u velkého dieselového motoru je velmi strmý. Brutálních zhruba 1500 Nm motoru Cursor katapultuje autobus dopředu. Řidič neví, jak na to reagovat, tak se na to snaží reagovat opětovným šlápnutím na pedál. Ten se o něco propadne, ale stejně nereaguje. Pravděpodobné by celou situaci zachránil nebo alespoň zmírnil, kdyby se vší rozhodností zadupl brzdu a zůstal na ní stát, i když to je také otázka, protože 1500 Nm představuje velký hnací moment. Jenže nic takového se nestalo, reaguje podobně jako většina „mission oriented“ řidičů a snaží se hlídat si směr. Ostatně nechtěná akcelerace se nikde nezmiňuje, netrénuje, nikdo se neučí s ní počítat, všichni mlčky vsázíme na to, že věci kolem nás navrhli a udržují profesionálové a proto fungují.
Příště se podíváme k soudu.
31.12.2022 D-FENS
Související články:
- Splašený autobus z Kladna 5/5: Soud (2.1.2023), D-FENS
- Splašený autobus z Kladna 3/5: Zkoumáme autobusy (31.12.2022), D-FENS
- Splašený autobus z Kladna 2/5: Posudek dopravního znalce (30.12.2022), D-FENS
- Splašený autobus z Kladna 1/5: Hodně nechtěná akcelerace (29.12.2022), D-FENS
(305x známkováno, průměr: 1,41 z 5)