Auto wordt te complex en niemand heeft overzicht

Een auto zit boordevol software, maar vrijwel niemand kan daarbij. Zo kon sjoemelsoftware in diesels onopgemerkt blijven. Volkswagen belooft Aufklärung, maar voorlopig blijft de wereld van de autosoftware ondoorzichtig en potdicht.

Een stuur, twee of drie pedalen: daarmee bestuur je een auto. Maar dat is schijn. In werkelijkheid wordt de auto aangedreven door tientallen computers, die de commando’s volgen van ruim honderd miljoen regels softwarecode – meer dan het besturingssysteem van een pc. Die schatting stamt uit 2009 en sindsdien zijn auto’s nog veel complexer geworden. „Te complex: niemand heeft nog het overzicht”, zegt een leverancier uit de auto-industrie. Hij wil, net als veel anderen die aan dit artikel meewerkten, zijn naam niet gepubliceerd zien. Volkswagen is een machtige partij die je liever niet tegen je in het harnas jaagt. Zelfs nu niet, nu het bedrijf wankelt door ‘dieselgate’.

Het dieselschandaal bracht aan het licht dat Volkswagen met een verborgen softwaretruc Amerikaanse emissietests misleidde. Afgelopen week waarschuwde Volkswagen dat daarbovenop 800.000 auto’s meer CO2 produceren dan ze zouden mogen. Is er nog meer sjoemelsoftware gevonden? Volkswagen laat details achterwege; opnieuw blijkt dat het grootste autoconcern ter wereld zijn zaakjes niet op orde heeft.

In de auto-industrie domineert softwareontwikkeling het productieproces. Onderzoeksbureau IHS becijferde dat het aantal terugroepacties door softwarefouten groeide van 1,5 procent in 2009 tot 22,5 procent in 2014. De kosten zijn gigantisch. Afgelopen kwartaal leed de Volkswagen Group verlies omdat het bedrijf 6,7 miljard euro reserveerde voor claims en het herstel van 11 miljoen Volkswagens, Audi’s, Seats en Skoda’s.

Gesloten cultuur

Volkswagen is bezig met een Aufklärungsprozess, een onderzoek dat moet verhelderen wat acht jaar lang verdoezeld werd. Met terugwerkende kracht komen de oorzaken van dieselgate boven tafel: onrealistische doelstellingen voor de Amerikaanse markt, de verwachting te kunnen wegkomen met bedrog in complexe software, een hiërarchische cultuur die geen ruimte laat voor kritiek, met een leiding die „meer op een Italiaans bedrijf dan een Duits bedrijf lijkt”, aldus een insider.

Het productieproces is ook ondoorzichtig. Autofabrikanten geven geen inzage in de code die ze gebruiken om motoren aan te sturen. Er heerst een gesloten cultuur, ook bij toeleveranciers als Robert Bosch, Delphi en Continental, die de computers ontwikkelen voor het zogeheten ‘motormanagement’ „De motor is datgene waar de fabrikanten jaren kennis in hebben opgebouwd, waarmee ze zich kunnen onderscheiden”, zegt een leverancier aan Volkswagen. Dat bedrijfsgeheim wordt niet prijsgegeven, zoals Coca Cola zijn recept achter slot en grendel bewaart.

Softwareontwikkelaars maken gebruik van ‘kalibratiekaarten’, de instellingen waaruit een auto continu kiest om in te spelen op de rijomstandigheden, het weer of de brandstofkwaliteit. Het motormanagement werd alsmaar verfijnder – dus complexer – om zuiniger en schoner te rijden. Het aantal mogelijke instellingen is het afgelopen decennium vertienvoudigd, zegt een specialist uit de branche. „We werken nu met meer dan 50.000 parameters en dat ligt vooral aan hogere emissie-eisen.” Elke instelling moet getest worden – een tijdrovend proces.

Tot een jaar of tien geleden kochten autofabrikanten de ECU, de computer die de motor aanstuurt, als een kant-en-klaar pakket – „een black box”. Sindsdien bemoeien automakers zich intensiever met programmeren, mede omdat de motor met andere computers in de auto moest samenwerken. Maar de meeste softwarekennis zit bij de leveranciers van de ECU.

Leugen

Om het nog ingewikkelder te maken: er is niet één vaste samenwerkingsvorm. De autofabrikant heeft wel altijd de eindregie en levert instructies aan in de vorm van een lijst met specificaties en vereisten. Die documenten zijn vaak meer dan duizend pagina’s lang en daarbij kan een oneffenheid onopgemerkt blijven. In het geval van dieselgate zette Bosch vraagtekens bij de sjoemelsoftware: stiekem wisselen tussen een schone en een zuinige kalibratie. Volkswagen bezwoer dat die optie er alleen voor interne testdoeleinden in zat. Dat bleek een leugen.

Om minder brandstof te verbruiken worden motoren kleiner qua cilinderinhoud (downscaling). Om geen vermogen te verliezen, wordt er technologie aan toegevoegd, zoals grotere turbo’s. Dat zijn dure onderdelen die vaker stuk gaan. Daardoor dalen de winstmarges – zeker bij kleine auto’s is dat een probleem. Softwarematige trucs zijn veel goedkoper.

Maar waarom belandde cheatcode voor de Amerikaanse markt in Europese auto’s die geen trucs nodig hadden om op de weg te mogen? Europa is veel vriendelijker voor diesels dan de VS, dankzij de autolobby. Een insider in de auto-industrie houdt er rekening mee dat de gewraakte coderegels met opzet ontwikkeld zijn voor de VS en vervolgens per ongeluk gekopieerd: „Een foutje bij het knippen en plakken van code.” Zou dat kunnen? Autofabrikanten verdelen techneuten in domeinen, bijvoorbeeld motor en versnellingsbak of emissiesystemen. Het geheel wordt gecontroleerd door systeemarchitecten, maar die overzien niet alle details.

Het lijkt waarschijnlijker dat Volkswagen onder tijdsdruk handelde en geen tijd en geld wilde verliezen met het ontwikkelen en valideren van nieuwe software. „Je ontwerpt één versie voor alle regio’s”, zegt een kenner. „Omwille van de betrouwbaarheid moet je softwareversies bevriezen, al weet je dat het beter kan”, zegt weer een andere insider.

Veiligheidsexperts vinden dat autofabrikanten inzage moeten geven in hun software. „Ze moeten transparant zijn, dat is de enige manier om zeker te weten dat we niet bedrogen worden”, schreef veiligheidsspecialist Bruce Schneier in een reactie op dieselgate. „Door gesloten software is bedrog makkelijk te plegen en moeilijk te bewijzen.”

Ons lot wordt bepaald door de code in levensbelangrijke – of levensgevaarlijke – toepassingen: liften, medische apparatuur, elektriciteitscentrales en computers die met 130 kilometer per uur over de snelweg razen. Auto’s die via internet verbonden zijn, zijn nóg kwetsbaarder voor fouten, gesjoemel en hacks.

Volkswagen heeft moeite het bedrog te herstellen. Omdat de ontwikkeling van een nieuwe motor jaren duurt en vaak meer dan een miljard euro kost, proberen fabrikanten die investering terug te verdienen door het blok (de ‘iron set’) in zoveel mogelijk modellen te plaatsen.

Omdat Volkswagen dezelfde motoren gebruikt in auto’s van dochtermerken Audi, Seat en Skoda, moeten 11 miljoen auto’s nieuwe software krijgen. Per model, soort versnelling en regio is een andere aanpassing vereist. Volkswagen kan niet één panklare oplossing presenteren, maar moet duizenden configuraties ontwikkelen.

Het updaten van de software bij de dealer gaat per auto zo’n anderhalf uur duren. Bij ruim drie miljoen auto’s moet ook nieuwe hardware gemonteerd worden. Die kosten zullen soms zo hoog oplopen dat Volkswagen klanten zou aanbieden met korting een nieuwe auto te kopen.

Dat verklaart meteen waarom een eerdere updatepoging van Volkswagen mislukte. Eind december 2014 riep Volkswagen 500.000 auto’s in de VS terug om – naar aanleiding van de emissietests – het motormanagement aan te passen. Die update werd niet goedgekeurd door de Amerikaanse milieutoezichthouder EPA en dat leidde uiteindelijk tot dieselgate: Volkswagens bekentenis werd afgedwongen door een dreigend verkoopverbod in Amerika.

Controleren

Een echt bewijs werd nooit geleverd, omdat de software verborgen is. De wetgever kan alleen maar controleren of het eindresultaat klopt, door middel van verre van perfecte testmethodes.

In de autobranche bestond al langer argwaan over de magische methode die Volkswagen gevonden had om te voldoen aan de strenge emissie-eisen in de VS. In een industrie die zichzelf moet controleren – en dat blijkbaar niet kan – is het niet ondenkbaar dat ook andere fabrikanten zich schuldig maken aan bedrog. Wie is de volgende? De RDW kondigde deze week aan diesels van andere merken te testen.

Een insider zegt dat er wel degelijk ethisch besef is in de auto-industrie: „Dit soort bedrog is exceptioneel. Iedereen weet dat dit niet kan. De afgelopen vijftien jaar ben ik misschien één keer iets verdachts tegen gekomen in de code van een Aziatische fabrikant.” Meer controle zou helpen: hij vindt dat overheden meer inzage moeten krijgen – niet in de code zelf, maar in de eisenlijst die autofabrikanten opstellen voor hun leveranciers.

IHS-analist Matteo Fini denkt dat invoering van strengere emissietesten, waaraan Europa al enkele jaren werkt, afdoende is. „De overheid hoeft niet elke regel code na te lezen. Het gaat om het resultaat: minder vervuiling, waardoor minder mensen astma of longkanker krijgen.”