由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Automobile版 - 丰田工程师真的该枪毙啊 (转载)
相关主题
我擦,谁把丰田工程师该枪毙那个帖子删了/汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?
丰田都做了那些to fix 自动加速问题zz 修完仍暴冲!丰田车主震惊投诉
这次Michael Barr给全世界人民做了件好事修完仍暴冲!丰田车主震惊投诉
丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?丰田向美国加州车祸受害者亲属赔偿1000万美元
丰田:2013版已经全部加刹车优先系统。。。丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元
自动加速不是大问题森林人卖的这么火爆?
为修复软件故障,丰田召回超过总销量半数的普瑞斯说说 丰田自动加速暴冲、如何处理以及买车
EDN上对丰田杀手firmware的详细分析说说 丰田自动加速暴冲、如何处理以及买车
相关话题的讨论汇总
话题: 丰田话题: barr话题: task话题: 系统话题: 刹车
进入Automobile版参与讨论
1 (共1页)
j*********n
发帖数: 6034
1
【 以下文字转载自 Auto_Fans 俱乐部 】
发信人: andrews (旱鸭子), 信区: Auto_Fans
标 题: 丰田工程师真的该枪毙啊
发信站: BBS 未名空间站 (Sun Nov 3 00:14:23 2013, 美东)
看下面的这文章,我是无语了……
以前不知道什么是"在看不到的地方偷工减料", 这回见识了。 以后不敢买丰田车了
转贴自:http://club.tgfcer.com/thread-6817371-1-1.html 网友Kuzuryuusen的文章
----------------------------
【第一部分】背景简介
前几年闹得沸沸扬扬的丰田刹不住事件最近又有新进展。十月底俄克拉荷马的一次庭审
,2007年一辆2005年凯美瑞暴冲(Unintended Acceleration,UA)致一死一伤事件中
丰田被判有责。引起广泛关注的是庭审中主要证人Michael Barr的证词让陪审团同意丰
田的动力系统软件存在巨大漏洞可能导致此类事件。这是丰田在同类事件中第一次被判
有责。庭审过后丰田马上同意支付300万美元进入调解程序。
出于好奇,我漫不经心地下载了Barr的286页证词,却一下子被吸引住了。几天内读完
,算是对这次事件进行了一次深入了解。下面就从外行角度总结一下这份证词并尝试以
更简单的语言解释里面提到的暴冲原因以及丰田犯下的错误。
Barr的证词下载自他的个人博客Barr Code,但现在该文已经被删除。稍后找地方上传。
Michael Barr是谁?他是一位拥有20年以上行业经验的嵌入式系统工程师。在十八个月
中,有12位嵌入式系统专家,包Barr,受原告诉讼团所托,被关在马里兰州一间高度保
安的房间内对丰田动力控制系统软件(主要是2005年的凯美瑞)源代码进行深度审查。
这房间没有英特网,没有手机信号,他们进出不能携带任何纸张、记录甚至皮带。最后
的调查结果被写入一份800页,13章的详细报告。而鉴于保密协议,调查内容一直没有
公布,直至俄克拉荷马这次庭审才首度部分公开(报告本身似乎还没公开)。
回到正题。丰田的软件有没有缺陷?根据Barr的调查,答案是有。这其实是废话,任何
软件都会有缺陷,关键在于是什么样的缺陷。丰田的软件缺陷分为三类:
非常业余的结构设计。
软件设计的基本要求是模块尽量简单化,因为这样可以一来更易于阅读二来更易于维护
。但丰田的工程师显然没有遵循这原则。Barr使用一种工具自动根据代码的可能分支数
量评估函数的复杂度,结果是丰田的软件中至少有67条函数复杂度超过50,意味着运行
这个函数可能出现超过50种不同的执行结果,属于“非可测”级别。因为为了测试这50
个不同的结果,必须准备至少50条不同的测试用例以及相应的文档,在生产环境中一般
是不现实的。作为比较,Barr表示他自己的公司严格执行的其中一条规定就是任何代码
复杂度不能超过30,否则不合格。而在这67条函数中还有12条复杂度超过100,达到“
非可维护”级别,意味着一旦发现缺陷(Bug)也无法修复,因为实在太复杂,修复缺
陷的过程中会产生新的缺陷。其中最复杂的一条函数有超过1300行代码,146个可能执
行路径——正好用于根据各传感器数值计算节气门开关角度。
如果你不知道什么是节气门,那么这里我稍微解释一下。为了让内燃机运行,有三大要
素:燃油、空气和点火时机。空气和燃油的混合物进入气缸,被火花塞在正确的时间点
燃推动活塞并最终推动曲轴和车轮前进。在电喷技术发明以后直到2002年以前,三大要
素的燃油和点火时间是由电子设备控制,节气门机械连接加速踏板,由司机直接控制。
节气门大致是一个连接加速踏板的“空气龙头”——踩下去越多,“龙头”打开得越大
,允许越多的空气进入发动机输出更大的动力。2002年以后,丰田引入的“电子油门”
让电子系统掌管了最后一个要素:空气。加速踏板不再机械连接节气门,而是连接一些
传感器,由行车电脑将这些传感器数值计算成节气门开启角度再由马达控制节气门。我
们稍后会再讨论节气门开合。
极复杂的代码带来的是极复杂的功能。下面说一下被称为“厨房洗涤盆”的Task X。这
里先解释一下,丰田的软件系统和很多别的软件系统一样,都是由一个统领程序(称之
为“操作系统”)和若干小程序(称之为Task)组成。就好比电脑上跑的Windows是统
领全局的操作系统,网络浏览器和记事本是跑在操作系统上的小程序。丰田的系统里每
个Task都有自己的名字,但这些名字非常敏感,敏感到每次被提及的时候律师都要求法
庭内的没有阅读代码权限的人全部清场。为了减少清场次数,Barr将这个最重要的小程
序称为Task X。这个Task X有多重要呢?跟厨房里的洗涤盆一样重要。它负责非常多的
事情,包括计算节气门开启角度、速度监测和保持、定速巡航监测等等。Task X的不正
常运行被认为是暴冲事件的元凶。稍后会再继续讨论Task X。
还有一些别的匪夷所思的发现。比如丰田的软件包含了超过一万一千个全局变量。如果
你不知道什么是全局变量,那么只需要知道软件设计的一般原则是要尽量少使用全局变
量,因为有可能带来无法预测的结果。这里的“少”的意思是“尽量接近零”,绝对不
会是一万一千个。
不符合软件开发规范。
如同很多行业一样,汽车行业也有自己的规范。更具体一点,由于汽车的危险性质,汽
车控制系统被划分为“安全关键性系统(Safety Critical System)”——说白了就是
安全性非常重要,弄不好会死人的。为了达到这一特殊要求,汽车相关软件开发人员定
期举行会议讨论并发布编程规范,称为MISRA C。该规范的2004年版的感谢列表里还能
看到丰田员工的名字,至少让外界认为丰田确实也在遵循这些规范。
真的吗?根据源代码来看,答案是否定的。对此之前的NASA报告也有所提及,丰田辩称
他们遵循的不是行业规范,而是丰田内部编程规范。这一规范与行业规范的吻合程度达
到50%。但是Barr认为根据他的调查,两个规范之间吻合度小于10%,甚至有若干规范条
目相互冲突。后来发现丰田的代码甚至没有遵循丰田内部规范,当然比起别的问题这个
已经无关紧要了。
MISRA C拥有超过100条规范,NASA的调查只使用了到其中35条进行校对,发现超过7000
处违规代码。Barr使用全部条目,对照结果是丰田的程序拥有超过80000处违规代码。
这些数字说明了什么?根据统计,违规数量可以用于预测代码中暗藏的缺陷(Bug)数
量。在之前提到的汽车相关软件开发人员会议中,有人就这一主题发表过专题演讲,提
出每30处违规代码可能包含一个重大缺陷和十个轻微缺陷。讽刺的是这人是丰田员工。
特别需要指出MISRA C其中一个规则的内容是不得使用递归。
如果你不知道什么是递归,那么这里我稍微解释一下。递归是一种计算方法。但一般计
算方法要么是自己算,要么询问别的计算模块索要结果。而递归则是通过问一层层问自
己的方法完成计算。好处是代码简单,坏处是计算层数不固定。可能会2层就出结果了
,也可能会是10000层,在设计程序的时候无从得知。
软件计算需要消耗存储器。越繁琐、越长的计算自然需要占用越多的存储器。递归的问
题在于其嵌套层数无法预测,从而导致可能消耗的存储器容量无法控制。稍后会再讨论
存储器。
对关键变量缺乏保护。
什么是变量?变量就是存在一段存储器的0和1的集合。这些变量既可以是一些函数的处
理结果,也可以是另一些函数的处理原材料。比方说前面提到有一条程序专门计算节气
门开合角度,比如说是20度,这个20就是一个变量,存在存储器的一个指定位置。另一
个程序专门负责开合节气门,它知道去那个指定位置读取这个20,然后把节气门开启20
度。
什么是保护?嵌入式系统,或者任何系统,都会在一定条件下发生硬件或者软件错误。
客观上这是无法避免的。而且汽车作为一个时常在震动、发热、位移的系统,它的内部
环境不能说不恶劣,发生硬件错误的可能性甚至更高。什么样的硬件错误呢?别忘了变
量都是0和1的组合,这些0和1由存储器上的高低电平代表。由于某些不可抗原因,一个
电平从高变成低,或者反过来,那么这个变量就被更改了。这被称为“位反转(Bit
Flip)”。为了对抗这样的事情发生,需要对变量进行保护。保护的方法一般是镜像法
。简单来说就是在两个不同的地方写入同一个变量,读取的时候两边都读,比较是不是
一致。如果不一致,那么可以得知这个变量已经不可靠,需要进行容错处理。
丰田的程序总体上对其上万个变量进行了有效保护,但问题出在操作系统上。前面提到
丰田的软件本质上分为操作系统和Task。Task是由丰田自己开发,但是操作系统则是由
芯片供应商提供,固化在芯片里的。丰田在这里的过失是没有对供应商提供的代码进行
深度审核,拿到什么用什么。
另一个保护措施是错误校验码(Error Detective and Correction Codes,EDAC)。这
是一个硬件层面的数据保护措施。简而言之就是给内存中每一个字节(8比特)后面物
理地增加几比特校验码。这样万一变量出错了,可以通过校验码得知,甚至可以通过校
验码修复一些轻微错误。这个措施十分简单有效,但是在2005年款凯美瑞的系统中完全
没有使用,丰田却告诉NASA他们用了。而在2008年款凯美瑞中使用了3比特长的EDAC。
Barr认为是为了节省成本,否则应该使用5比特长。
还有值得一提的是,汽车相关的软件行业有那么几家操作系统供应商,早已形成了一套
成熟标准称为OSEK。各供应商开发的符合OSEK认证的操作系统至少都能达到一定的质量
。但丰田选用的操作系统却没有通过认证,让人不解。
现在我们知道丰田在编写软件的时候至少有三种缺陷。那么重点问题:丰田的这些软件
缺陷是否会导致车辆暴冲?根据Barr的调查,答案是有可能。暴冲的起因需要结合上述
三种缺陷来说明。
汽车正常运行需要倚靠若干程序(这里叫Task)的同时运作。Task有很多,CPU只有一
块,在任何时刻只能处理一个Task,怎么办呢?这需要操作系统的统筹规划,合理分配
CPU的任务,让每个Task都能按时执行。如果出现某种意外,让某个Task突然不执行了
,那么就称为这个Task“死亡”。Task死了,自然不能执行它的任务。根据Barr的测试
,在某些特定情况下,Task X的死亡可以导致节气门敞开——因为Task X的其中一个任
务就是根据司机的操作计算节气门开合角度,它死了也就没法重新计算这个角度,即使
司机把脚挪开加速踏板,节气门也无法关闭。此为暴冲的直接原因。更糟糕的是,节气
门的开合角度这个数值,被Task X算出来以后保存在一个变量中。这个特定的变量正好
没有被保护(缺陷3)。意味着万一Task X死亡并且停止计算,这个数值有可能因为不
可抗原因被改变,而程序无从得知。
那么Task X为何会死亡呢?一般是因为内存出错。这个出错可能是一个小小的位反转,
也可能是内存里的数值被别的程序错误覆盖。同一系统内同时运行了若干程序,这些程
序需要共享一块内存,内存内部必然要被划分成若干块。比如第一块给程序1,第二块
给程序2,等等。如果程序1因为某些原因(比如Bug)写到第二块内存上去,就会导致
程序2读取了错误的信息。这就是所谓的内存出错。丰田的系统里,正好有这么两块相
邻的内存块。第一块被称为“堆栈(Stack)”,这是所有Task存储它们运行状态的地
方,大小为4KB。与之相邻的地方储存了操作系统进行任务分配的记录。那么可以想象
,如果很多Task给堆栈里写入太多东西,超过4KB,那么就会错误地写入与之相邻的任
务分配表。这种错误被称为“堆栈溢出”。操作系统拿到了错误的任务分配表,就会错
误地分配任务,造成某些Task多执行几次,某些Task少执行几次,某些Task甚至就再也
不执行——死了!必须指出的是,程序死亡并不罕见,甚至可以认为是正常现象。稍后
解释处理方法。
那么堆栈为什么会溢出呢?显然是因为要写入的数据超过了堆栈的容量。在设计程序的
时候要计算最坏的情况并且允许冗余。即使作出了正确的设计,这种错误也相对常见,
所以NASA在他们的调查中重点排查堆栈溢出的可能性。于是NASA问丰田,丰田的回复是
最坏的情况下4KB堆栈只写入了41%的数据,换句话说发生溢出的可能性非常低。NASA直
接取信了这个数字并没有再深入调查。但Barr他们发现丰田的回答有严重低估,实际上
最坏的情况会达到94%,而且还不算递归。丰田在代码中使用了递归(缺陷2)。因而实
际数字有可能超过94%而且无法预计上限,因为递归计算的嵌套层数是无法预测的。所
以实际情况下堆栈溢出的可能性相当可观。一旦溢出,相邻的任务分配表不可避免就会
遭到破坏。此为暴冲的根本原因其中之一。之所以说“其中之一”,是因为堆栈溢出仅
仅是损坏任务分配表的其中一个原因,别的还有许多可能性并没有被Barr在法庭上深入
解释。而且任务分配表的损坏也仅仅是导致Task死亡的原因之一。
顺便提一句,2005年的凯美瑞的这部分供应商是电装,没有搭载堆栈实时监测功能——
溢出了也不知道。同年的卡罗拉却搭载了,因为供应商是通用。
到这里我小结一下,串链子。左边是原因,右边是后果。
堆栈溢出→(可能导致)→任务分配表被改写→(可能导致)→Task X死亡→(可能导
致)→节气门敞开→(导致)→汽车暴冲
必须指出的是,这条链子从最左边一直到Task X死亡,都还算是嵌入式系统的常见故障
。虽然程序代码写得不好也许导致更容易出错,客观上丰田并没有特别大的过错。只要
处理得当,这些故障都不会导致暴冲。
到此为止还只是前奏而已,接下来我们来看看丰田到底做错了什么。
【第二部分】丰田之罪
上面反复提到,嵌入式系统中内存出错或者程序死亡其实是一种正常现象——至少从
Barr的证词可以得出这个结论——现在连我们都知道了,嵌入式工程师肯定比我们更清
楚才对。确实,为了使系统正常运行不被错误干扰,一般的做法是设置若干层防护措施
(Failsafe),让运行中出现的错误无法轻易突破,得到妥善处理。丰田的工程师自然
也懂得这一点。很可惜,他们搞砸了。
上面那条链子应该修改成这样:
(防护措施0)→堆栈溢出→(防护措施1)→(可能导致)→任务分配表被改写→(防
护措施2)→(可能导致)→Task X死亡→(防护措施3)→(可能导致)→节气门敞开
→(防护措施4)→(导致)→汽车暴冲
可以看到,防护措施不可谓不多。只要处理得当,这链条应该是走不通的。现在让我们
从左到右看一个小小的内存错误是如何一层层突破防护最终导致汽车暴冲的。
首先防护措施0。这个其实上面提到了,因为设计缺陷低估了最大占用的存储容量,并
且不符合规范地使用了递归,最终可能导致堆栈溢出。
然后到防护措施1。上面也提到了,任务分配表紧邻堆栈。作为外行我都觉得这是个十
分危险的设计——既然堆栈这么容易溢出,好歹应该将任务分配表放远一点啊。当然我
是外行,可能实际上比想象中复杂很多。这段Barr的证词中并未特别提到,属于我的个
人理解。
防护措施2。从这里开始丰田的错误越发严重。任务表被改写导致某些Task运行异常,
在软件层应该有若干检测措施,比方说用特殊的监视Task来监视别的Task是否正常。但
丰田是怎么做的呢?还记得上面的“厨房洗涤盆”Task X吗?它是如此复杂(缺陷1)
,除了控制汽车运行的任务之外竟然还兼任大部分的监视任务,比如生成DTC。
DTC(diagnostic trouble codes),是汽车电脑系统会根据情况生成的错误代码。有
的车主可能会遇到汽车某报警灯常亮,修车师傅拿个仪器插在行车电脑上得出一个代码
,再查表就知道哪个元件坏了——这就是DTC。除了用于修车,DTC还被用于检测行车电
脑和各传感器的异常状态。
可以想象,这个既是运动员又是裁判的Task X一旦死亡,软件层的检测措施大部分就失
效了。
防护措施3。在这里丰田的错误开始到达顶峰。即使设置正确无误,上面提到的监视
Task也只不过是另一个Task而已,与它的监视对象算是平级——监视Task自己同样有可
能出现故障。嵌入式系统的一般做法是在所有程序之上再设置一道屏障,被称为“看门
狗(Watchdog)”。所谓看门狗,是一个优先级很高的倒计时程序。别的程序需要在运
行的时候特意去重置一下这个计时器让它重新开始倒计时,这个动作被称为“喂狗”。
如果因为程序出问题太长时间不喂狗,倒计时完成,看门狗知道什么地方卡住了,马上
采取措施,比如重启整个系统。重启系统听起来似乎很严重,实际上却是一件相当普通
的事情。嵌入式系统的重启非常快,时速100公里的汽车中动力系统可以在半米之内完
成重启——车上的人根本觉察不到。
通过阅读代码和拟真实验,Barr惊讶地发现上述嵌入式系统的常识性做法竟然在丰田软
件系统内不存在!丰田的软件确实有一只看门狗,但它竟然不是用于监视Task异常,而
是用于防止CPU过载。首先这个做法不能说后无来者至少算是前无古人。还记得上面提
到的800页13章的报告吗?目瞪口呆的Barr将丰田看门狗的分析结果写入了报告的第一
章,因为他实在太震惊。其次,丰田看门狗的防止CPU过载功能也相当蹩脚,在拟真测
试发现即使它正常工作,还是会允许CPU过载时间长达1.5秒——时速100公里的车能跑
40米以上。CPU一旦过载,就会导致所有的Task进入一种“假死”状态,无法处理信息
,这时司机无法控制汽车动力,十分危险
另外,丰田的工程师还犯了一个嵌入式课堂上被反复提到的经典错误:使用硬件时钟中
断喂狗。硬件中断拥有非常高的优先级,即使Task卡住(比如出现死循环)也不能阻止
硬件中断——可想而知这样一来看门狗就等于完全白瞎了。
这里也提一句,同年的普锐斯却令人意外地搭载了一只运作正常的看门狗,反而让人摸
不着头脑。
还没完。这一层防护是嵌入式系统的关键阵地。前面都是电子系统,后面马上进入机械
运作,足以造成灾难了。所以仅仅拥有软件级别的防护还不足够,丰田的做法是在主
CPU之外单独设置了一块监视芯片,从硬件级别对系统的运作进行监视。监视芯片有两
个任务。第一,它运行一种叫做系统卫士(System Guard)的程序,原理上来说是专门
用于防止暴冲。主CPU和监视芯片上都会运行系统卫士,可是研究发现Task X一旦死亡
,这些系统卫士统统都不起作用了。第二,它运行一个被称为“刹车回声检查(Brake
Echo Check)”的程序。这个程序从代码上来看似乎可以检测出Task X的死亡,并且采
取相应措施:关闭节气门。听起来像是好消息,但是同样有问题:首先这个程序不太可
靠,即使正常运行,理论上也有失效的可能。最关键的是该程序不会自动运行,需要司
机先对刹车踏板有“动作”才会触发。注意这里我特意没用“踩刹车”这个词,因为根
据分析“触发动作”十分令人困惑。它分两种情况:如果Task X死亡的那一刻司机的脚
不在刹车踏板上,那么触发动作是踩刹车。还算可以理解。另一种情况,如果Task X死
亡那一刻司机的脚踩在刹车踏板上,那么触发动作是完全释放刹车踏板。没错,察觉车
子在不正常加速的司机需要停止踩刹车才能让控制系统关闭节气门!这种违背人类认知
的行为应该不是丰田工程师特意设计的。如果是,他们到底在想什么啊?
到此为止,上面提到的都算是“战术层面”的错误,都是“小错”。在讲解这块监视芯
片的时候,可以发现丰田犯下最严重的“战略层面”错误——基础设计。Barr认为,如
果基础设计正确,上述那些小错都完全不会导致汽车暴冲——不管代码写得多业余,不
管内存错误多严重,不管Task死得多频繁,统统不会致命。让我们回到2002年以前,没
有电子油门的时候。那时候的拉线油门是由油门踏板机械连接的。当驾驶员的右脚踩下
刹车,他的右脚必然不在油门踏板上,节气门自然而然地被关闭。这个动作如此自然,
甚至算不上安全措施,仅仅因为每人只有一只右脚,不可能同时踩油门和刹车。当丰田
设计电子油门的时候,只要稍微有点常识,都应该从设计阶段就将这一“自然而然”发
生的动作考虑进去。但是很显然,他们没这么做。监视芯片上运行的代码是用汇编语言
(一种更加接近机器执行代码,远离人类语言,更加难懂的编程语言)编写的,运行层
次比主CPU的C语言更低。Barr认为如果设计得当,现有的监视芯片完全有能力胜任上述
功能,需要的仅仅是几百行代码,别的什么都不用更改——不会提高任何生产成本。很
遗憾,他们没有做到。
防护措施4。现在已经脱离电子系统,节气门已经敞开,发动机全速运转,需要使用机
械运作来组织机械运作了。如何让向前冲的车子停下来?不开车的人都知道,刹车!现
代汽车都装备了刹车助力,助力来自于发动机运转的时候产生的负压。我们知道发动机
需要吸入空气,吸入体积等于排气量乘以转速。节气门又是用来阻挡空气的,那么节气
门关闭而发动机转速相对高的时候(比如高速丢油门),发动机的实际空气吸入量比它
能吸入的体积要少,那么从节气门到气缸进气口之间会形成明显低气压(所谓负压,比
大气压力小)。刹车助力就是利用了这个负压推动气鼓产生更大的推力带动刹车片抓紧
刹车盘。但是如果节气门敞开让空气随便进来,低气压就不存在了,这时刹车助力大大
减弱,刹车效率也大大降低。这就是为什么暴冲事件当事人都说全油门的时候根本刹不
住的重要原因。这个现象称为“真空损失(Vacuum Loss)”,存在于所有自然吸气的
汽油发动机汽车(柴油和增压发动机没影响),不算丰田的错。但丰田迟迟不搭载刹车
优先系统(Brake Override System)允许刹车的同时敞开节气门,毫无疑问是这个现
象的帮凶。
所谓刹车优先系统,指的是保证同时踩下刹车油门两个踏板的时候无条件关闭节气门的
功能。这么做很显然主要是为了降低发动机输出,同时也保证刹车助力。丰田在2010年
的凯美瑞上终于搭载了刹车优先系统,但是别高兴得太早。根据Barr的调查,丰田竟然
将如此重要的修改“理所当然”地写入了他们的“厨房洗涤盆”——Task X。我只能“
哑然失笑,扼腕叹息”。
好了,到此为止都还是Barr的一面之词,而且大部分都是在那间守卫森严的房间内进行
拟真测试得出的“理论结果”。那么实车测试情况如何呢?丰田对Barr的证词如何反驳
呢?
先说说实车测试。为了证明理论,他们把2008年和2005年的凯美瑞放在马力机上,固定
车身架起前轮模拟车辆运行情况。他们的做法是首先让车子运行在时速68英里(110公
里),启动巡航,脚离开油门踏板。然后暂停巡航,速度开始下降。下降到一定程度恢
复巡航,速度开始上升。在到达68英里的设定时速以前,他们用一台连接行车电脑的笔
记本“注入”错误。所谓注入错误,就是人为地翻转一个特定字节——将0改成1,或者
反过来——模拟内存损坏。结果完全符合理论,时速超过68英里也不停止加速,直至时
速90英里(145公里),测试人员踩下刹车。大约1秒以后节气门被关闭,Barr认为这是
上述“刹车回声检查”的功劳。
实车测试证明了Barr的理论,却并不是全无破绽。丰田辩护律师就两点提出质疑:
实车测试使用人工注入错误的方法,并不能证明现实中这种错误就一定会发生。
对此Barr的回答是测试的局限性。因为测试时间、样本有限,而待测试的样本空间无穷
大。如果要等待那个特定的错误自然出现,可能需要成百万上亿小时的不间断测试,显
然是不现实的。更何况从科学上而言,没有办法对这个错误证伪——就好比无法证明宇
宙里没有外星人,最多只能证明火星上找不到而已。但是这个测试足以证明一个小小的
位翻转确实可以突破重重障碍最终导致暴冲,足以证明丰田的软件存在不能容忍的隐患。
Bookout女士(本案原告)声称,在她驾驶汽车离开高速的时候发现不受控加速,她拼
命反复踩下刹车并且拉起手刹,现场留下了刹车痕迹。但并没有迹象表明发动机动力中
断——换言之“刹车回声检测”没起作用。暗指Barr的理论站不住。
对此Barr的回答是首先尽管在实车测试中每次都生效,但代码分析表明“刹车回声检查
”这一功能在理论上靠不住。其次这一功能的另外一个触发动作是要让脚完完全全离开
刹车踏板。试想车子正在不受控地往前冲,任何人都会不由自主地踩刹车,让人完全不
踩刹车踏板根本就是违背认知的。Bookout女士即使如同她所称反复踩刹车,很可能只
是一直将脚放在踏板上往复运动,从未完全挪开。Barr还引用一位丰田自己的软件专家
的证词。该专家承认,如果发生暴冲的时刻脚正好接触到刹车踏板,并且之后一直没挪
开,那么汽车的暴冲距离“取决于还剩多少汽油”。
最后顺带说一下那份800页,13章的详细报告完成后,Barr将其提交给了丰田的软件部
门,等待他们的反驳。最终结果是“非常少(Very little)”,13章中的11章,包括
堆栈溢出的部分、代码混乱的部分、违反开发规范的部分、Task X过于臃肿甚至兼任节
气门控制和防护措施的部分、看门狗形同虚设的部分、无EDAC的部分、重要变量缺乏保
护的部分、使用了非标准化操作系统的部分,全部没受到任何形式的反驳。
【第三部分】后记
写到这里,谈谈人们比较关心的几点。当然还是外行眼光。
NASA / NHTSA怎么没发现这些问题?
NHTSA本身不具备检验电子系统的能力,于是委托NASA。NASA检验的是整个电控系统,
包括电控传动部分,范围比较宽,只有很少一部分资源被用于检验软件系统,也没有投
入足够的人力进行逐行代码审阅。更何况在很多关键问题,比如之前提到的EDAC的使用
、堆栈的设计,NASA都直接采信丰田的回复,最终被证明不正确。甚至NASA从来都没拿
到过监视芯片的源代码,丰田的说法是“他们没说要啊”。NASA报告虽然没能找到软件
系统导致暴冲的确切原因,但没有否定其可能性。与之相比Barr的团队全部都是嵌入式
系统专家,投入上千小时,深入程度甚至超过丰田自身对这个系统的理解(比如丰田没
看过供应商的OS代码,Barr看了)。
能否100%确定本案就是由软件错误造成的?
不能。并没有直接证据。诉讼团认为,软件错误造成该事故的可能性比软件错误没造成
该事故的可能性大(原文:more likely than not)。
这里再提一句,2005年款的凯美瑞没有搭载行车数据记录器(俗称“黑盒子”),后来
的车款渐渐开始搭载。但是Barr发现这个记录功能并不可靠,完全有可能记录错误信息
。比如司机踩刹车了可能会被记录成没踩。
本案的意义
之前虽然丰田赔了不少钱,但是从未在涉及人身伤害的案件上承责。所以本案意义在于
开先例。美国的法律又特别注重先例,今后丰田的法务部门要头疼了。
本案提到的有缺陷软件涉及了哪些车型?
全部是美国的车型。Barr的调查重点是2005年款凯美瑞,另外审阅过的包括雷克萨斯ES
、Tacoma、卡罗拉和普锐斯等等,生产年份大致在2002年(电子油门元年)与2010年之
间。其中凯美瑞、雷克萨斯ES和Tacoma使用的软件系统大致接近(原文:
Substantially similar)。另外根据统计,汽车暴冲投诉中与2004年款以后的凯美瑞
有关的案件数量激增400%。
最后的最后,放上本案关键证人Michael Barr的独家访谈:
我:这么看来似乎手动档汽车更安全,你怎么认为?
Barr:很多专家都这么认为,离合器至少可以物理断开动力系统。但是我翻阅卷宗,发
现其中有个案例是受害者开手动档凯美瑞载着家人,突然巡航系统失灵,无法取消。他
踩下离合,同时试图躲避前方慢速车辆结果失控冲出路面造成单车事故。幸运的是没死
人。
我:现在我们都知道丰田的软件很糟糕。可是你对整个汽车行业的软件水平有什么看法
?丰田的软件在同行内属于什么水平?
Barr:我没有接触过丰田以外的软件代码。但是请注意,这次发现的最严重问题是丰田
在设计源头上没有考虑安全,软件质量反倒没有那么重要。只要一个安全为先的设计,
比如刹车和关闭节气门的可靠互动、防止节气门开启降低刹车效率的机制等等,不管软
件有多差劲也不会造成致命结果。只是我真不知道软件还能怎么差。
我:终极问题,你开什么车?
Barr:我不开丰田。接触该案以来我没买过新车。老实说我现在非常害怕买新车。我倒
是问过一个与车企斗争了三十多年的职业状棍同样的问题,他开宝马。
【全文完】
【版权没有,转贴注明出处】
e*******s
发帖数: 1979
2
看起来很恐怖....a

【在 j*********n 的大作中提到】
: 【 以下文字转载自 Auto_Fans 俱乐部 】
: 发信人: andrews (旱鸭子), 信区: Auto_Fans
: 标 题: 丰田工程师真的该枪毙啊
: 发信站: BBS 未名空间站 (Sun Nov 3 00:14:23 2013, 美东)
: 看下面的这文章,我是无语了……
: 以前不知道什么是"在看不到的地方偷工减料", 这回见识了。 以后不敢买丰田车了
: 转贴自:http://club.tgfcer.com/thread-6817371-1-1.html 网友Kuzuryuusen的文章
: ----------------------------
: 【第一部分】背景简介
: 前几年闹得沸沸扬扬的丰田刹不住事件最近又有新进展。十月底俄克拉荷马的一次庭审

m***j
发帖数: 533
3
疯田托也该枪毙阿
s*****g
发帖数: 3693
4
这下丰田要大出血了
不知有没有recall

【在 j*********n 的大作中提到】
: 【 以下文字转载自 Auto_Fans 俱乐部 】
: 发信人: andrews (旱鸭子), 信区: Auto_Fans
: 标 题: 丰田工程师真的该枪毙啊
: 发信站: BBS 未名空间站 (Sun Nov 3 00:14:23 2013, 美东)
: 看下面的这文章,我是无语了……
: 以前不知道什么是"在看不到的地方偷工减料", 这回见识了。 以后不敢买丰田车了
: 转贴自:http://club.tgfcer.com/thread-6817371-1-1.html 网友Kuzuryuusen的文章
: ----------------------------
: 【第一部分】背景简介
: 前几年闹得沸沸扬扬的丰田刹不住事件最近又有新进展。十月底俄克拉荷马的一次庭审

j*********n
发帖数: 6034
5
没有 三百万大发了

【在 s*****g 的大作中提到】
: 这下丰田要大出血了
: 不知有没有recall

m***j
发帖数: 533
6
不是大出血的问题了。我觉得这是严重的产品质量缺陷致人死亡的问题,和毒奶粉、地
沟油等性质相同(地沟油还吃不死人呢,所以疯田的性质更恶劣)。而且这个质量缺陷
还不是因为不可抗拒因素导致的,完全是因为疯田为了节约成本谋取暴利,偷工减料和
不按行业规矩做事的结果。疯田的高管应该被枪毙几个,那个疯田脏男应该被五马分尸
,尸体扔进山中喂狼。

【在 s*****g 的大作中提到】
: 这下丰田要大出血了
: 不知有没有recall

f******y
发帖数: 270
7
这个文章太专业了,大部分人不明白。不影响继续放心购买。
j*********n
发帖数: 6034
8
这样的代码我们在fans版讨论过 c如果写的蹩脚比如5000行一个函数 上百种可能一点
不奇怪

【在 f******y 的大作中提到】
: 这个文章太专业了,大部分人不明白。不影响继续放心购买。
s*****g
发帖数: 3693
9
有了这个案子,其他的不远了

【在 j*********n 的大作中提到】
: 没有 三百万大发了
f******y
发帖数: 270
10
太牛鼻了,这样的系统里加递归。当年俺大学系统课上一块板上两三百行的最基本的汇
编区动程序,调试时有的板行有的板不行,只好完全重写。这递归真不知道怎么测试通
过的。这堆栈要多少DRAM才够。
相关主题
自动加速不是大问题汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?
为修复软件故障,丰田召回超过总销量半数的普瑞斯zz 修完仍暴冲!丰田车主震惊投诉
EDN上对丰田杀手firmware的详细分析修完仍暴冲!丰田车主震惊投诉
进入Automobile版参与讨论
H*******o
发帖数: 1637
11
我去,看完就只有一个想法:好在不开丰田
这辈子不会考虑它家了
j*********n
发帖数: 6034
12
我同学最牛b了 调试单片机一周跑不过去 找老师 老师说你插电源了吗
结果 是呀准女友来实验室看片给丫片子电源拔了插音响shang了

【在 f******y 的大作中提到】
: 太牛鼻了,这样的系统里加递归。当年俺大学系统课上一块板上两三百行的最基本的汇
: 编区动程序,调试时有的板行有的板不行,只好完全重写。这递归真不知道怎么测试通
: 过的。这堆栈要多少DRAM才够。

b*******g
发帖数: 1095
13
草。光鲜的外表下包着一坨屎。作者辛苦了。
T*U
发帖数: 22634
14
这贴要么是弃婴写的,要买么弃婴会出来洗地

【在 e*******s 的大作中提到】
: 看起来很恐怖....a
l*******g
发帖数: 27064
15
不知道丰田软件是日本人开发的?
还是找印度人写的?
几个丰田托呢?又准备尿遁了?
t*****s
发帖数: 124
16
更为恶劣的是丰田一直试图掩盖事实的真相,而不是解决问题

【在 m***j 的大作中提到】
: 不是大出血的问题了。我觉得这是严重的产品质量缺陷致人死亡的问题,和毒奶粉、地
: 沟油等性质相同(地沟油还吃不死人呢,所以疯田的性质更恶劣)。而且这个质量缺陷
: 还不是因为不可抗拒因素导致的,完全是因为疯田为了节约成本谋取暴利,偷工减料和
: 不按行业规矩做事的结果。疯田的高管应该被枪毙几个,那个疯田脏男应该被五马分尸
: ,尸体扔进山中喂狼。

l*******g
发帖数: 27064
17
一直在撒谎,从来不用负责

【在 t*****s 的大作中提到】
: 更为恶劣的是丰田一直试图掩盖事实的真相,而不是解决问题
x*****6
发帖数: 501
18
这么长,我竟然看完了。
话说遇上爆冲丰田的几率和遇上飞机失事的几率哪个大?
申明,我不开丰田。但不觉得因为爆冲会影响丰田的销量。倒是因为赔钱,召回以及改
进软件而增加成本导致车价上升才可能影响销量。
f******y
发帖数: 270
19
工程缺陷就是缺陷,会在未知情况发生,概率是不可计算的。
A***n
发帖数: 8859
20
关键是处理不当,拼命掩盖,慢慢被揭露。
不过工程师非常有丰田风格,不会枪毙,反而会被丰田重用。

【在 x*****6 的大作中提到】
: 这么长,我竟然看完了。
: 话说遇上爆冲丰田的几率和遇上飞机失事的几率哪个大?
: 申明,我不开丰田。但不觉得因为爆冲会影响丰田的销量。倒是因为赔钱,召回以及改
: 进软件而增加成本导致车价上升才可能影响销量。

相关主题
丰田向美国加州车祸受害者亲属赔偿1000万美元说说 丰田自动加速暴冲、如何处理以及买车
丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元说说 丰田自动加速暴冲、如何处理以及买车
森林人卖的这么火爆?丰田的防盗系统真垃圾
进入Automobile版参与讨论
f******y
发帖数: 270
21
这样的问题,确实很难locate。不承认也正常。估计丰田需要把系统重写,硬件容错提
高。希望俺们最爱的烤肉和佳美不要长价太多。

【在 A***n 的大作中提到】
: 关键是处理不当,拼命掩盖,慢慢被揭露。
: 不过工程师非常有丰田风格,不会枪毙,反而会被丰田重用。

A***n
发帖数: 8859
22
当年用个小铁片搪塞了事的时候我就在版上说了,要是那个铁片能解决这个加速问题,
我就吃一块下去。

【在 f******y 的大作中提到】
: 这样的问题,确实很难locate。不承认也正常。估计丰田需要把系统重写,硬件容错提
: 高。希望俺们最爱的烤肉和佳美不要长价太多。

k*********s
发帖数: 4474
23
印度人写的代码,能对付就对付,版内好多人应该领教过吧
f******y
发帖数: 270
24
哈,女友来实验室看片这个未知条件,确实比较难模拟到。

【在 j*********n 的大作中提到】
: 我同学最牛b了 调试单片机一周跑不过去 找老师 老师说你插电源了吗
: 结果 是呀准女友来实验室看片给丫片子电源拔了插音响shang了

d********g
发帖数: 7458
25
这篇写的简直比丰田代码还冗长,300字可以说明白的写了3万字

【在 j*********n 的大作中提到】
: 我同学最牛b了 调试单片机一周跑不过去 找老师 老师说你插电源了吗
: 结果 是呀准女友来实验室看片给丫片子电源拔了插音响shang了

s****e
发帖数: 638
26
丰田汽车的软件里有大量设计缺陷不让人意外。究竟是不是现在查出来的原因,也许是
。但用同样手段去查查各家的系统,丰田的系统是否最业余的,这还真不好说。简单的
说,复杂系统的状态对工程师的验证测试手段来说是无穷尽的。没有办法全部验证到。
可以说所有的系统都大堆的bug。我见过几个垄断市场的软硬件系统,进去看看代码,
低级错误比比皆是,大家用的挺欢,因为别人的更垃圾。小到手表,计算器,大到飞机
,太空船,无一例外都有大量的明的暗的问题。当然对于关键系统,比如银行系统,飞
机,核电站,卫星之类的靠技术手段提高容错能力。比如银行,飞机等系统用的芯片性
能要求不高,尽量不用复杂的技术,大冗余度复杂的校验。 比如用几个的core执行同
样的指令,有一个对不上就重新执行。再严格点的比如卫星上使用的芯片比同样性能的
民用的贵成千上万倍。
至于系统设计,除了一些热门的领域系统经常要重写。丰田乃至个汽车厂家的控制软件
估计还有20年前的程序在跑。去看看一些老牌公司的系统,比如IBM,intel什么的,
没准不少地方Fortran程序还在跑。对大公司来说,以前不出问题的部分不太会重写。
老系统好歹经过检验新系统没准问题更多,要花更多的时间稳定下来。当然这也给了
startup起来的机会。丰田的系统烂,其他公司的系统恐怕好不了多少。
文中提到确认的方法是人工注入错误。如果bit反转可能发生(的确可能发生,但问题
往往无法证实,无法重建),随便拿什么code来,都会出问题。就算写几行code,也要
make lots of assumptions. 比如输入的variable不会有bit 反转. 对测试验证来说,
大系统的状态几乎是无穷的。硬件的状态比软件少的多,因为不能象软件一样每天打个
patch,验证自然要要求严格的多。但即使是手机里的CPU,用现在的技术手段把所有状
态都验证需要几千上万年。一般consumer芯片里验证要求是表达式覆盖度到95%就算可
以了。覆盖度的提高的难度都是指数级别上升的。比如一条case可能达到70%的覆盖度
。而从94到95%大概需要增加几十上百条验证case。只用一段时间出bug,蓝屏怎么办?
很正常,能重复的就debug,然后在下一次流片时改正。大多数bug都是不能重复的。用
户重启设备就行了。 飞机系统的容错设计肯定好些,但搞验证的工程师坐飞机心里都
是有些打鼓的。不管谁家公司的芯片直到淘汰都是一堆的bug,谁知道那些飞机失事是不
是由软硬件系统的问题造成的。

【在 j*********n 的大作中提到】
: 我同学最牛b了 调试单片机一周跑不过去 找老师 老师说你插电源了吗
: 结果 是呀准女友来实验室看片给丫片子电源拔了插音响shang了

f******y
发帖数: 270
27
文中提到了"嵌入式系统中内存出错或者程序死亡其实是一种正常现象"
“丰田的软件确实有一只看门狗,但它竟然不是用于监视Task异常,而
是用于防止CPU过载。首先这个做法不能说后无来者至少算是前无古人。”
丰田的问题是没有follow行业标准吧。这种多线程的嵌入系统开发,不follow标准,很
危险的。太搞了,这个系统最大的concern不是task异常,而是CPU过载。节省过头了,
用多几个core的CPU会死吗。

【在 s****e 的大作中提到】
: 丰田汽车的软件里有大量设计缺陷不让人意外。究竟是不是现在查出来的原因,也许是
: 。但用同样手段去查查各家的系统,丰田的系统是否最业余的,这还真不好说。简单的
: 说,复杂系统的状态对工程师的验证测试手段来说是无穷尽的。没有办法全部验证到。
: 可以说所有的系统都大堆的bug。我见过几个垄断市场的软硬件系统,进去看看代码,
: 低级错误比比皆是,大家用的挺欢,因为别人的更垃圾。小到手表,计算器,大到飞机
: ,太空船,无一例外都有大量的明的暗的问题。当然对于关键系统,比如银行系统,飞
: 机,核电站,卫星之类的靠技术手段提高容错能力。比如银行,飞机等系统用的芯片性
: 能要求不高,尽量不用复杂的技术,大冗余度复杂的校验。 比如用几个的core执行同
: 样的指令,有一个对不上就重新执行。再严格点的比如卫星上使用的芯片比同样性能的
: 民用的贵成千上万倍。

s****e
发帖数: 638
28
汽车不是飞机,大概没有人会用几个core的冗余去提高容错度。没有那个公司会这样,
成本问题。 上次那里看到芯片成本已占现代汽车成本的20%。 至于行业标准,我知道
最基本的ABI(Application binary interface)嵌入式compiler公司也无法遵
守。比如你要求参数传递的寄存器位置,堆栈深度限制,endian等等,大家都按自己
熟悉的来。也不是你一个客户,大家都是焦头烂额赶进度。 能work就不错了。 碰到意
外就倒霉。

【在 f******y 的大作中提到】
: 文中提到了"嵌入式系统中内存出错或者程序死亡其实是一种正常现象"
: “丰田的软件确实有一只看门狗,但它竟然不是用于监视Task异常,而
: 是用于防止CPU过载。首先这个做法不能说后无来者至少算是前无古人。”
: 丰田的问题是没有follow行业标准吧。这种多线程的嵌入系统开发,不follow标准,很
: 危险的。太搞了,这个系统最大的concern不是task异常,而是CPU过载。节省过头了,
: 用多几个core的CPU会死吗。

y******e
发帖数: 1194
29
就知道有这么说的
你又没查别家,别家可能比丰田还烂呢。

【在 s****e 的大作中提到】
: 丰田汽车的软件里有大量设计缺陷不让人意外。究竟是不是现在查出来的原因,也许是
: 。但用同样手段去查查各家的系统,丰田的系统是否最业余的,这还真不好说。简单的
: 说,复杂系统的状态对工程师的验证测试手段来说是无穷尽的。没有办法全部验证到。
: 可以说所有的系统都大堆的bug。我见过几个垄断市场的软硬件系统,进去看看代码,
: 低级错误比比皆是,大家用的挺欢,因为别人的更垃圾。小到手表,计算器,大到飞机
: ,太空船,无一例外都有大量的明的暗的问题。当然对于关键系统,比如银行系统,飞
: 机,核电站,卫星之类的靠技术手段提高容错能力。比如银行,飞机等系统用的芯片性
: 能要求不高,尽量不用复杂的技术,大冗余度复杂的校验。 比如用几个的core执行同
: 样的指令,有一个对不上就重新执行。再严格点的比如卫星上使用的芯片比同样性能的
: 民用的贵成千上万倍。

t**********3
发帖数: 12623
30
软件是Denso的,日本公司

【在 l*******g 的大作中提到】
: 不知道丰田软件是日本人开发的?
: 还是找印度人写的?
: 几个丰田托呢?又准备尿遁了?

相关主题
丰田因“杀人固件”被罚300万美元丰田都做了那些to fix 自动加速问题
关于丰田车自动加速问题直白的解释这次Michael Barr给全世界人民做了件好事
我擦,谁把丰田工程师该枪毙那个帖子删了/丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?
进入Automobile版参与讨论
s****e
发帖数: 638
31
我是就事论事,从专业角度出发看所发现的问题。

【在 y******e 的大作中提到】
: 就知道有这么说的
: 你又没查别家,别家可能比丰田还烂呢。

f******y
发帖数: 270
32
我看到两点
1 错误校验码(Error Detective and Correction Codes,EDAC)在2005年款凯美瑞的
系统中完全没有使用。而在2008年款凯美瑞中使用了3比特长的EDAC节省成本,
2 汽车软件行业早已形成了一套成熟标准称为OSEK。各供应商开发的符合OSEK认证的操
作系统至少都能达到一定的质量。但丰田选用的操作系统却没有通过认证,让人不解。
(用自己的系统来实现降低成本?)
都是节省成本造成的缺陷。不过,只要没有law规定一定要用5比特以上的EDAC和OSEK认
证的操作系统,丰田应该是没有违法的行为的。

【在 s****e 的大作中提到】
: 汽车不是飞机,大概没有人会用几个core的冗余去提高容错度。没有那个公司会这样,
: 成本问题。 上次那里看到芯片成本已占现代汽车成本的20%。 至于行业标准,我知道
: 最基本的ABI(Application binary interface)嵌入式compiler公司也无法遵
: 守。比如你要求参数传递的寄存器位置,堆栈深度限制,endian等等,大家都按自己
: 熟悉的来。也不是你一个客户,大家都是焦头烂额赶进度。 能work就不错了。 碰到意
: 外就倒霉。

n******7
发帖数: 12463
33
我很好奇,如果这样可以降低成本又不违法的话,只有丰田这么搞马?

【在 f******y 的大作中提到】
: 我看到两点
: 1 错误校验码(Error Detective and Correction Codes,EDAC)在2005年款凯美瑞的
: 系统中完全没有使用。而在2008年款凯美瑞中使用了3比特长的EDAC节省成本,
: 2 汽车软件行业早已形成了一套成熟标准称为OSEK。各供应商开发的符合OSEK认证的操
: 作系统至少都能达到一定的质量。但丰田选用的操作系统却没有通过认证,让人不解。
: (用自己的系统来实现降低成本?)
: 都是节省成本造成的缺陷。不过,只要没有law规定一定要用5比特以上的EDAC和OSEK认
: 证的操作系统,丰田应该是没有违法的行为的。

n******7
发帖数: 12463
34
我其实有点这么想,因为有时候到底烂不烂是比较出来的
让外行觉得很问题很严重很可怕总是可以做到的,参见可怕的H20一文
所以最好有个参照,如果大家都差不多水平,也就无所谓了

【在 y******e 的大作中提到】
: 就知道有这么说的
: 你又没查别家,别家可能比丰田还烂呢。

s****e
发帖数: 638
35
不知道行业标准怎样。也许你说的对。跟日本工程师打过交道。感觉日本工程师死板教
条,但是不大糊弄或者乱来。

【在 f******y 的大作中提到】
: 我看到两点
: 1 错误校验码(Error Detective and Correction Codes,EDAC)在2005年款凯美瑞的
: 系统中完全没有使用。而在2008年款凯美瑞中使用了3比特长的EDAC节省成本,
: 2 汽车软件行业早已形成了一套成熟标准称为OSEK。各供应商开发的符合OSEK认证的操
: 作系统至少都能达到一定的质量。但丰田选用的操作系统却没有通过认证,让人不解。
: (用自己的系统来实现降低成本?)
: 都是节省成本造成的缺陷。不过,只要没有law规定一定要用5比特以上的EDAC和OSEK认
: 证的操作系统,丰田应该是没有违法的行为的。

y******e
发帖数: 1194
36
耍小聪明不是不可以,但被人抓住了,就要认栽。这时再说别人还不如我呢这话就显得
有点无力了。毕竟人家没爆冲。
l*******g
发帖数: 27064
37
日本人节省成本是方方面面的
尤其丰田,绝对的业界成本控制大王,无出其右
不说美国车,德国车,就连本田马尼桑之类的都跟在丰田屁股后面学习怎么消减成本
别家就算想,估计还没学会呢吧

【在 n******7 的大作中提到】
: 我很好奇,如果这样可以降低成本又不违法的话,只有丰田这么搞马?
s****e
发帖数: 638
38
爆冲complain很多公司都有。 Toyota 跟 Volve最高。
Toyota的爆冲complain数量变化

【在 y******e 的大作中提到】
: 耍小聪明不是不可以,但被人抓住了,就要认栽。这时再说别人还不如我呢这话就显得
: 有点无力了。毕竟人家没爆冲。

l*******g
发帖数: 27064
39
这个当时召回的时候就有人贴过好多回了
没错,每家都有,但是只有丰田刹不住

【在 s****e 的大作中提到】
: 爆冲complain很多公司都有。 Toyota 跟 Volve最高。
: Toyota的爆冲complain数量变化

f******y
发帖数: 270
40
这显然是日本工程师优秀的implement了一个系统来实现公司的意图吧。主要是规划缺
陷。就像房主一定要用次品木头来修房子,设计师这么做都还是不结实了。
当然这些日本工程师竟然还用递归在车载系统里,有需要这样的算法吗?

【在 s****e 的大作中提到】
: 不知道行业标准怎样。也许你说的对。跟日本工程师打过交道。感觉日本工程师死板教
: 条,但是不大糊弄或者乱来。

相关主题
丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?为修复软件故障,丰田召回超过总销量半数的普瑞斯
丰田:2013版已经全部加刹车优先系统。。。EDN上对丰田杀手firmware的详细分析
自动加速不是大问题汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?
进入Automobile版参与讨论
s****e
发帖数: 638
41
递归在嵌入式系统的使用是很常见的。 但我不清楚车载系统里是否能用递归。

【在 f******y 的大作中提到】
: 这显然是日本工程师优秀的implement了一个系统来实现公司的意图吧。主要是规划缺
: 陷。就像房主一定要用次品木头来修房子,设计师这么做都还是不结实了。
: 当然这些日本工程师竟然还用递归在车载系统里,有需要这样的算法吗?

D***n
发帖数: 6804
42
你离专业角度还离了10万8千里。这种重要控制系统的一大特点就是要求 Zero Bug,
你可能会问,软件咋可能Zero Bug呢?软件可能的运行状态和执行路径千千万万不可穷
尽的。
好,对于这样的系统,要求测试所有的输入输出,执行路径,内部状态,而且是100%覆
盖。你要再问我,要是状态无穷怎么办。那我的回答是:一个至关重要的控制系统能生
成不可知的状态,那这个系统能放心用么?简直就是设计失败啊。所以这样的系统都是
状态有限,而且全部可测的。
因为理论上,一般软件的100%覆盖是不可能的。这样的测试方法最主要的缺点是,对软
件规模和类型都有严格的要求。所以一般只能用在功能单一的特殊功能软件上,通常是
控制软件。
显示生活中,这样的例子很多,比如各种硬件的CPU。事实上一种检测这类软件的方法
就是用布尔函数把程序映射成一个硬件,再用硬件的检测方法去检测。
丰田显然是图省钱了。

【在 s****e 的大作中提到】
: 我是就事论事,从专业角度出发看所发现的问题。
D***n
发帖数: 6804
43
如果你不服,qmail就是最好的例子:此软件1997年到现在是世界上第2流行的MTA,作
者和用户提供了1500美元的bug bounty,到现在无人能拿。
http://cr.yp.to/qmail/guarantee.html

【在 s****e 的大作中提到】
: 丰田汽车的软件里有大量设计缺陷不让人意外。究竟是不是现在查出来的原因,也许是
: 。但用同样手段去查查各家的系统,丰田的系统是否最业余的,这还真不好说。简单的
: 说,复杂系统的状态对工程师的验证测试手段来说是无穷尽的。没有办法全部验证到。
: 可以说所有的系统都大堆的bug。我见过几个垄断市场的软硬件系统,进去看看代码,
: 低级错误比比皆是,大家用的挺欢,因为别人的更垃圾。小到手表,计算器,大到飞机
: ,太空船,无一例外都有大量的明的暗的问题。当然对于关键系统,比如银行系统,飞
: 机,核电站,卫星之类的靠技术手段提高容错能力。比如银行,飞机等系统用的芯片性
: 能要求不高,尽量不用复杂的技术,大冗余度复杂的校验。 比如用几个的core执行同
: 样的指令,有一个对不上就重新执行。再严格点的比如卫星上使用的芯片比同样性能的
: 民用的贵成千上万倍。

s****e
发帖数: 638
44
如果只有Toyota爆冲刹不住,那显然是只有Toyota有的致命漏洞。Toyota被抓住自然会
被罚。我只是就事论事说系统出这类问题确有可能。这个发现的问题也许是真正原因,
也许不是。这个其实很难确认。同样,这也是Toyota会在有的地方赢官司,有的地方输
。最后还是看陪审团的决定。如前述,每个系统都有问题,很多问题是无法重复,也无
法debug。分析过程请不同的工程师来看会有不同的答案。

【在 l*******g 的大作中提到】
: 这个当时召回的时候就有人贴过好多回了
: 没错,每家都有,但是只有丰田刹不住

s****e
发帖数: 638
45
系统的robustness,当然跟成本有关。否则跟航天飞机一样设计当然出问题的概率小多
了。所谓无bug的系统,只是在特定assumption出现。用硬件方法去测,硬件也无法清
除所有bug。你的测试系统也出问题怎么办。你用来测试测试系统的系统也出问题怎么办
,如此往复,无穷循环。软件对了,芯片出问题怎么办,芯片对了, 芯片制造过程中
有隐患怎么办,比如虚连接断了,比如一个杂质在高温下,在射线轰击下突然导电短路
了怎么办。今天不出问题,electron migration, 无法保证明天不出问题。幸好
大多数极端情况发生概率及其微小。此文假设一个bit反转出了问题。电子系统出问题
了可以用机械系统override, 万一机械系统也出问题了呢,比如cable卡住了,
或断了。 概率小于一定估值的只能assume不可能发生。成本原因,汽车之类的系统
当然容错跟飞机不能比,飞机跟卫星又不能比。说一个系统100%zero bug只能是特定
assumption/或概率下。 Toyota工程师assume了bit反转不大可能发生出了问题,
至于是否真正原因,谁知道。

【在 D***n 的大作中提到】
: 你离专业角度还离了10万8千里。这种重要控制系统的一大特点就是要求 Zero Bug,
: 你可能会问,软件咋可能Zero Bug呢?软件可能的运行状态和执行路径千千万万不可穷
: 尽的。
: 好,对于这样的系统,要求测试所有的输入输出,执行路径,内部状态,而且是100%覆
: 盖。你要再问我,要是状态无穷怎么办。那我的回答是:一个至关重要的控制系统能生
: 成不可知的状态,那这个系统能放心用么?简直就是设计失败啊。所以这样的系统都是
: 状态有限,而且全部可测的。
: 因为理论上,一般软件的100%覆盖是不可能的。这样的测试方法最主要的缺点是,对软
: 件规模和类型都有严格的要求。所以一般只能用在功能单一的特殊功能软件上,通常是
: 控制软件。

s****e
发帖数: 638
46
还以为是gmail. 第一次听说。
你出15000让找Toyota的bug也是无人能拿。

【在 D***n 的大作中提到】
: 如果你不服,qmail就是最好的例子:此软件1997年到现在是世界上第2流行的MTA,作
: 者和用户提供了1500美元的bug bounty,到现在无人能拿。
: http://cr.yp.to/qmail/guarantee.html

e*c
发帖数: 642
47
这回toyota的bug不就被人找出了么?

【在 s****e 的大作中提到】
: 还以为是gmail. 第一次听说。
: 你出15000让找Toyota的bug也是无人能拿。

z**n
发帖数: 22303
48
高速上刹车冒火最后撞死的独此一家。

【在 n******7 的大作中提到】
: 我其实有点这么想,因为有时候到底烂不烂是比较出来的
: 让外行觉得很问题很严重很可怕总是可以做到的,参见可怕的H20一文
: 所以最好有个参照,如果大家都差不多水平,也就无所谓了

n****1
发帖数: 2895
49
不光丰田工程师,所有日本人都该

【在 j*********n 的大作中提到】
: 我同学最牛b了 调试单片机一周跑不过去 找老师 老师说你插电源了吗
: 结果 是呀准女友来实验室看片给丫片子电源拔了插音响shang了

w********r
发帖数: 1825
50
别费心替丰田说话了,就冲系统出错不能刹车这一点,还有什么好说的?

【在 s****e 的大作中提到】
: 如果只有Toyota爆冲刹不住,那显然是只有Toyota有的致命漏洞。Toyota被抓住自然会
: 被罚。我只是就事论事说系统出这类问题确有可能。这个发现的问题也许是真正原因,
: 也许不是。这个其实很难确认。同样,这也是Toyota会在有的地方赢官司,有的地方输
: 。最后还是看陪审团的决定。如前述,每个系统都有问题,很多问题是无法重复,也无
: 法debug。分析过程请不同的工程师来看会有不同的答案。

相关主题
zz 修完仍暴冲!丰田车主震惊投诉丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元
修完仍暴冲!丰田车主震惊投诉森林人卖的这么火爆?
丰田向美国加州车祸受害者亲属赔偿1000万美元说说 丰田自动加速暴冲、如何处理以及买车
进入Automobile版参与讨论
j*********n
发帖数: 6034
51
一个递归有深吗?
来考试了,谁能用循环来实现递归。

【在 s****e 的大作中提到】
: 递归在嵌入式系统的使用是很常见的。 但我不清楚车载系统里是否能用递归。
D***n
发帖数: 6804
52
你居然连大名鼎鼎的qmail都不知道,那还在这里谈什么BUG不可避免,真搞笑。
qmail是open source软件,代码从1997年到现在都在网上你可以自己去看,它目前是世
界最流行的MTA邮件服务器之一。同样还有djbdns,世界上最流行的DNS服务器,从2001
发布到现在只找到一个bug。
至于发动机伺服软件居然不是zero bug,这个绝对扯淡。

【在 s****e 的大作中提到】
: 还以为是gmail. 第一次听说。
: 你出15000让找Toyota的bug也是无人能拿。

a****l
发帖数: 8211
53
这个要分开来说的。发动机的控制软件肯定质量没有那么高的,没有bug/错误是几乎不
可能的,不过大家也就是要几项关键的东西别出错不要让坐车的人送了命,别的小错问
题不大。

2001

【在 D***n 的大作中提到】
: 你居然连大名鼎鼎的qmail都不知道,那还在这里谈什么BUG不可避免,真搞笑。
: qmail是open source软件,代码从1997年到现在都在网上你可以自己去看,它目前是世
: 界最流行的MTA邮件服务器之一。同样还有djbdns,世界上最流行的DNS服务器,从2001
: 发布到现在只找到一个bug。
: 至于发动机伺服软件居然不是zero bug,这个绝对扯淡。

f******y
发帖数: 270
54
any critical real system should be implemented as simple as possible.
recursion is error prone and inefficient. avoid as much as possible. in
assembly programming it is also difficult to pre allocate enough stack for
such implementation when memory is a critical restriction.

【在 j*********n 的大作中提到】
: 一个递归有深吗?
: 来考试了,谁能用循环来实现递归。

D***n
发帖数: 6804
55
你提的这些问题都是一些很初级的测试问题。
比如CPU每秒钟执行10亿条指令,像EIP寄存器这样的关键部位,只要有一个bit错误就
会出现内存保护错误导致死机。照你的理论,计算机应该几分钟就重启一次,对不对?
为什么它不呢?
自己回去找本测试的书好好看看。

么办

【在 s****e 的大作中提到】
: 系统的robustness,当然跟成本有关。否则跟航天飞机一样设计当然出问题的概率小多
: 了。所谓无bug的系统,只是在特定assumption出现。用硬件方法去测,硬件也无法清
: 除所有bug。你的测试系统也出问题怎么办。你用来测试测试系统的系统也出问题怎么办
: ,如此往复,无穷循环。软件对了,芯片出问题怎么办,芯片对了, 芯片制造过程中
: 有隐患怎么办,比如虚连接断了,比如一个杂质在高温下,在射线轰击下突然导电短路
: 了怎么办。今天不出问题,electron migration, 无法保证明天不出问题。幸好
: 大多数极端情况发生概率及其微小。此文假设一个bit反转出了问题。电子系统出问题
: 了可以用机械系统override, 万一机械系统也出问题了呢,比如cable卡住了,
: 或断了。 概率小于一定估值的只能assume不可能发生。成本原因,汽车之类的系统
: 当然容错跟飞机不能比,飞机跟卫星又不能比。说一个系统100%zero bug只能是特定

s****e
发帖数: 638
56
大名鼎鼎qmail知不知道跟谈bug free没有关系。你对硬件没有概念不也在谈100%
coverge么。 这两个可是有关系的。你认为“bug free”的系统不出问题么?这要看你
怎么定义了,此文测试法中bit反转没保护算不算bug? 你的bug free系统拿到卫星上
能工作么?

2001

【在 D***n 的大作中提到】
: 你居然连大名鼎鼎的qmail都不知道,那还在这里谈什么BUG不可避免,真搞笑。
: qmail是open source软件,代码从1997年到现在都在网上你可以自己去看,它目前是世
: 界最流行的MTA邮件服务器之一。同样还有djbdns,世界上最流行的DNS服务器,从2001
: 发布到现在只找到一个bug。
: 至于发动机伺服软件居然不是zero bug,这个绝对扯淡。

D***n
发帖数: 6804
57
那两个软件就是DJB一个人分别花了2年时间写的。
我以前看过静态分析,对于一般程序而言,穷尽所有状态的测试在理论上是不可实现的
。所以出于种种原因,一般软件也不追求这个。
但是,在特定设计下,这样的测试是可行的,最后能产生Zero Bug,代价是软件的规模
和功能有很多限制,所以只能用在特定应用上。像汽车ECU软件绝对应该这么设计。

【在 a****l 的大作中提到】
: 这个要分开来说的。发动机的控制软件肯定质量没有那么高的,没有bug/错误是几乎不
: 可能的,不过大家也就是要几项关键的东西别出错不要让坐车的人送了命,别的小错问
: 题不大。
:
: 2001

s****e
发帖数: 638
58
测试书看完了?再拿本验证的书好好看看。建立一些基本概念再看看你说的有没问题。

【在 D***n 的大作中提到】
: 你提的这些问题都是一些很初级的测试问题。
: 比如CPU每秒钟执行10亿条指令,像EIP寄存器这样的关键部位,只要有一个bit错误就
: 会出现内存保护错误导致死机。照你的理论,计算机应该几分钟就重启一次,对不对?
: 为什么它不呢?
: 自己回去找本测试的书好好看看。
:
: 么办

D***n
发帖数: 6804
59
既然这些可能性这么大,Intel CPU的寄存器为啥能在经历了每秒10亿次指令执行,在
长年累月的计算后不出错呢?
WHY ?

【在 s****e 的大作中提到】
: 大名鼎鼎qmail知不知道跟谈bug free没有关系。你对硬件没有概念不也在谈100%
: coverge么。 这两个可是有关系的。你认为“bug free”的系统不出问题么?这要看你
: 怎么定义了,此文测试法中bit反转没保护算不算bug? 你的bug free系统拿到卫星上
: 能工作么?
:
: 2001

T*U
发帖数: 22634
60
windows经常帮你重启

【在 D***n 的大作中提到】
: 既然这些可能性这么大,Intel CPU的寄存器为啥能在经历了每秒10亿次指令执行,在
: 长年累月的计算后不出错呢?
: WHY ?

相关主题
说说 丰田自动加速暴冲、如何处理以及买车关于丰田车自动加速问题直白的解释
丰田的防盗系统真垃圾我擦,谁把丰田工程师该枪毙那个帖子删了/
丰田因“杀人固件”被罚300万美元丰田都做了那些to fix 自动加速问题
进入Automobile版参与讨论
m***j
发帖数: 533
61
那是Windows自己的问题。同样用Intel处理器的Unix,Linux,Windows Server系统就
经常一run几个月不重起的。

【在 T*U 的大作中提到】
: windows经常帮你重启
s****e
发帖数: 638
62
你认为Intel的CPU bug free? 没有出过错,你怎么知道呢? 不关键的出错你意识不到
。即使蓝屏了你也不知道是否外设造成的,软件造成的,还是芯片老化造成的。
测试的bugfree是特定条件下的,理论上不存在bug free. 就算一行最简单的程序
bugfree了,执行硬件不是bugfree,系统也不可能bugfree.绝对robust的系统是不存在
的,工程设计只要关键系统robustness到一定系数就能用了。工作了你就知道了。

【在 D***n 的大作中提到】
: 既然这些可能性这么大,Intel CPU的寄存器为啥能在经历了每秒10亿次指令执行,在
: 长年累月的计算后不出错呢?
: WHY ?

b********y
发帖数: 895
63
你们都不看楼主转的文章就开吵吗,那文章说的是软件问题有,更主要的是没有保护啊
,有了保护,就算很多bug,最后出问题不死人就不算太差,丰田的软件就算是bug少,
但是没有保护最后出问题死人了,那也应该负责的

【在 D***n 的大作中提到】
: 那两个软件就是DJB一个人分别花了2年时间写的。
: 我以前看过静态分析,对于一般程序而言,穷尽所有状态的测试在理论上是不可实现的
: 。所以出于种种原因,一般软件也不追求这个。
: 但是,在特定设计下,这样的测试是可行的,最后能产生Zero Bug,代价是软件的规模
: 和功能有很多限制,所以只能用在特定应用上。像汽车ECU软件绝对应该这么设计。

D***n
发帖数: 6804
64
我以前写过物理仿真,一次要100% CPU跑1个星期,只要一次计算出错就会导致立刻
SegFault,那个程序我跑了好几年。我的计算机也经常一年不关机。每一次的SegFault
我都分析过(这也是我的主要目的),没有一次是你说的这种所谓系统随机出错的情况
。而CPU和主板,内存都是去中关村奸商那里买的。
请你回答我的问题:为啥Intel CPU能做到这一点,WHY ?

【在 s****e 的大作中提到】
: 你认为Intel的CPU bug free? 没有出过错,你怎么知道呢? 不关键的出错你意识不到
: 。即使蓝屏了你也不知道是否外设造成的,软件造成的,还是芯片老化造成的。
: 测试的bugfree是特定条件下的,理论上不存在bug free. 就算一行最简单的程序
: bugfree了,执行硬件不是bugfree,系统也不可能bugfree.绝对robust的系统是不存在
: 的,工程设计只要关键系统robustness到一定系数就能用了。工作了你就知道了。

j******n
发帖数: 611
65
日本政客,企业家都是那样,没得治了!

【在 l*******g 的大作中提到】
: 一直在撒谎,从来不用负责
b***6
发帖数: 6011
66
关键是出错率低 极其低
如果这么找bug的话,说实在的,随便拉出来一个车,都能找出来毛病
y******e
发帖数: 1194
67
洗地党在证据没被抓住的时候都会问:证据呢?
面对证据的时候都会说:别人还不如我呢,你也查查别人去。
关键问题是别人再烂也不能说你不烂,别人再烂,也特么没刹不住车,没撞死人!!!

【在 b***6 的大作中提到】
: 关键是出错率低 极其低
: 如果这么找bug的话,说实在的,随便拉出来一个车,都能找出来毛病

h**e
发帖数: 244
68
太坑人了,枪毙三回都不多。车主应该集体诉讼退车罚到它破产。

【在 j*********n 的大作中提到】
: 一个递归有深吗?
: 来考试了,谁能用循环来实现递归。

f******t
发帖数: 7283
69
我看到几个月前电嗝曾经在奔驰论坛上(mbworld或者benzworld,具体哪个记不清了,
大家可以去查一下;不过是人都能猜到,电嗝接下来必然会推托说那人不是他),发帖
抱怨过他的E350会偶尔刹车失灵但dealer总是查不出error code。我觉得这个也属于
ECU的问题,应该去调查一下奔驰的ECU代码质量。
另外brake override具体怎样才能试出来呢?我近期租过的多辆奔驰,行驶中同时踩刹
车和油门,发动机还是会继续给油并且转速会上升。究竟怎样才能激活这个“刹车是爷
”功能呢?

【在 j*********n 的大作中提到】
: 一个递归有深吗?
: 来考试了,谁能用循环来实现递归。

h**z
发帖数: 9751
70
我开始关注痱痢猫的言论就是10年初丰田自动加速闹得最凶的时候他跳出来拼命洗地
相关主题
丰田都做了那些to fix 自动加速问题丰田:2013版已经全部加刹车优先系统。。。
这次Michael Barr给全世界人民做了件好事自动加速不是大问题
丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?为修复软件故障,丰田召回超过总销量半数的普瑞斯
进入Automobile版参与讨论
y******e
发帖数: 1194
71
洗地党在证据没被抓住的时候都会问:证据呢?
面对证据的时候都会说:别人还不如我呢,你也查查别人去。
关键问题是别人再烂也不能说你不烂,别人再烂,也特么没刹不住车,没撞死人!!!

【在 f******t 的大作中提到】
: 我看到几个月前电嗝曾经在奔驰论坛上(mbworld或者benzworld,具体哪个记不清了,
: 大家可以去查一下;不过是人都能猜到,电嗝接下来必然会推托说那人不是他),发帖
: 抱怨过他的E350会偶尔刹车失灵但dealer总是查不出error code。我觉得这个也属于
: ECU的问题,应该去调查一下奔驰的ECU代码质量。
: 另外brake override具体怎样才能试出来呢?我近期租过的多辆奔驰,行驶中同时踩刹
: 车和油门,发动机还是会继续给油并且转速会上升。究竟怎样才能激活这个“刹车是爷
: ”功能呢?

l*******g
发帖数: 27064
72
你这不是别家鸭蛋更难吃的翻版么
别家刹不住车死了几个?丰田呢?

【在 f******t 的大作中提到】
: 我看到几个月前电嗝曾经在奔驰论坛上(mbworld或者benzworld,具体哪个记不清了,
: 大家可以去查一下;不过是人都能猜到,电嗝接下来必然会推托说那人不是他),发帖
: 抱怨过他的E350会偶尔刹车失灵但dealer总是查不出error code。我觉得这个也属于
: ECU的问题,应该去调查一下奔驰的ECU代码质量。
: 另外brake override具体怎样才能试出来呢?我近期租过的多辆奔驰,行驶中同时踩刹
: 车和油门,发动机还是会继续给油并且转速会上升。究竟怎样才能激活这个“刹车是爷
: ”功能呢?

s******y
发帖数: 17729
73
看完了,觉得拖出去枪毙十分钟

【在 j*********n 的大作中提到】
: 【 以下文字转载自 Auto_Fans 俱乐部 】
: 发信人: andrews (旱鸭子), 信区: Auto_Fans
: 标 题: 丰田工程师真的该枪毙啊
: 发信站: BBS 未名空间站 (Sun Nov 3 00:14:23 2013, 美东)
: 看下面的这文章,我是无语了……
: 以前不知道什么是"在看不到的地方偷工减料", 这回见识了。 以后不敢买丰田车了
: 转贴自:http://club.tgfcer.com/thread-6817371-1-1.html 网友Kuzuryuusen的文章
: ----------------------------
: 【第一部分】背景简介
: 前几年闹得沸沸扬扬的丰田刹不住事件最近又有新进展。十月底俄克拉荷马的一次庭审

f******t
发帖数: 7283
74
任何程序都不可能做到100%防御任何人为的攻击。
这位程序专家的做法就是类似于,主观意识上为了找任何能找的借口来说某个人身体不
健康,他的证明方法就是人为地往这个人身上打一剂毒药,然后那个人就当然死掉,因
此专家就得出结论说这个人免疫系统有问题,健康有问题。
有的人可能天生对某些毒药有抵抗力,但是只要专家不遗余力地穷举能找到的所有毒药
,必然能找到能毒死那个人的毒药出来。
放到程序上也是。对于任何程序,只要允许我手动暴力修改内存里的任何二进制信息,
我总能找到一种修改方法来让它崩溃掉并且崩溃之后产生我想要的行为。区别只是写的
好的程序,需要花更大力气来找出这种修改方法;写的不好的程序,不用费太多力气就
能找到这种修改方法。按照Barr专家的描述,他好像在这个事情上花了好多时间,可能
常年忙于写书赚钱,编程能力衰退了。
s****c
发帖数: 11300
75
1. 大规模系统的故障率与复杂程度有关系。越复杂的系统,级数越多,即使是很可靠
的设备也会在多个乘数下变得容易出故障,航天飞机和汽车的故障率谁高?航天飞机已
经出了2次严重的故障了。连核电站这样的根本不容许出错的装备都出过错误。拿汽车
跟这些设备来比较是不合理的。
2. 汽车的电控系统,从复杂程度上来讲其实根本算不上特别高的。依据设计方案的不
同,电子设备参与的多少也有区别。最早的汽车可以没有电子芯片。到现在的汽车基本
上离不开电子芯片了。但无论如何,从设计理念上来讲,让电子信号override机械设备
都是危险的。
3. 汽车的电控系统设计理念,为了降低关键部分的失效率,无非就是业界常用的几招
:冗余,多备份,传输校验。从成本上考虑,就油门爆冲这个问题,核心的就那么几个
东西。想要设计一个刹车脚踏能override所有的其他设备的机构,甚至都不需要cpu参
与!前面我说了,系统越复杂出错的概率就越高,那么就在这个刹车功能上,干脆就设
计一个一条线的简单系统是大部分人都会采取的方案。如果事实真如本文首贴所说,丰
田的问题不是软件写的如何烂,而是从根本的设计理念上就出了问题。
4. 软件工程角度,什么递归该不该用,存储器空间分配等都是次要的。还是设计理念
问题

么办

【在 s****e 的大作中提到】
: 系统的robustness,当然跟成本有关。否则跟航天飞机一样设计当然出问题的概率小多
: 了。所谓无bug的系统,只是在特定assumption出现。用硬件方法去测,硬件也无法清
: 除所有bug。你的测试系统也出问题怎么办。你用来测试测试系统的系统也出问题怎么办
: ,如此往复,无穷循环。软件对了,芯片出问题怎么办,芯片对了, 芯片制造过程中
: 有隐患怎么办,比如虚连接断了,比如一个杂质在高温下,在射线轰击下突然导电短路
: 了怎么办。今天不出问题,electron migration, 无法保证明天不出问题。幸好
: 大多数极端情况发生概率及其微小。此文假设一个bit反转出了问题。电子系统出问题
: 了可以用机械系统override, 万一机械系统也出问题了呢,比如cable卡住了,
: 或断了。 概率小于一定估值的只能assume不可能发生。成本原因,汽车之类的系统
: 当然容错跟飞机不能比,飞机跟卫星又不能比。说一个系统100%zero bug只能是特定

D***n
发帖数: 6804
76
实在是不能理解为什么总有一些完全没搞过这方面测试的人跳出来举一些奇怪的例子。
猫这次写的东西完全off-topic。
barr的评估方法和工具也是最普通最标准的,换了谁都会用某种static analysis tool
来进行分析。如果复杂度太高,静态分析就很容易失效,导致很多状态的测试很难完全
覆盖。barr因此提出抱怨非常正常。
所以丰田这个系统,本质上是无法100%可测的,这就是他反复强调的设计理念问题。这
样的程序,实际上无法维护,无法修改,无法完全测试,就像那1300行的函数都是90年
代中期以前的产物,到现在无人敢动。

【在 f******t 的大作中提到】
: 任何程序都不可能做到100%防御任何人为的攻击。
: 这位程序专家的做法就是类似于,主观意识上为了找任何能找的借口来说某个人身体不
: 健康,他的证明方法就是人为地往这个人身上打一剂毒药,然后那个人就当然死掉,因
: 此专家就得出结论说这个人免疫系统有问题,健康有问题。
: 有的人可能天生对某些毒药有抵抗力,但是只要专家不遗余力地穷举能找到的所有毒药
: ,必然能找到能毒死那个人的毒药出来。
: 放到程序上也是。对于任何程序,只要允许我手动暴力修改内存里的任何二进制信息,
: 我总能找到一种修改方法来让它崩溃掉并且崩溃之后产生我想要的行为。区别只是写的
: 好的程序,需要花更大力气来找出这种修改方法;写的不好的程序,不用费太多力气就
: 能找到这种修改方法。按照Barr专家的描述,他好像在这个事情上花了好多时间,可能

k*********s
发帖数: 4474
77
Bullshit.
What are you talking about? They are only doing a code review. They are not
testing the code or hatching the code. Stay on the same topic on what
Michael Barr evaluated the code. Nobody is interested in how you will
evaluate the code.

【在 f******t 的大作中提到】
: 任何程序都不可能做到100%防御任何人为的攻击。
: 这位程序专家的做法就是类似于,主观意识上为了找任何能找的借口来说某个人身体不
: 健康,他的证明方法就是人为地往这个人身上打一剂毒药,然后那个人就当然死掉,因
: 此专家就得出结论说这个人免疫系统有问题,健康有问题。
: 有的人可能天生对某些毒药有抵抗力,但是只要专家不遗余力地穷举能找到的所有毒药
: ,必然能找到能毒死那个人的毒药出来。
: 放到程序上也是。对于任何程序,只要允许我手动暴力修改内存里的任何二进制信息,
: 我总能找到一种修改方法来让它崩溃掉并且崩溃之后产生我想要的行为。区别只是写的
: 好的程序,需要花更大力气来找出这种修改方法;写的不好的程序,不用费太多力气就
: 能找到这种修改方法。按照Barr专家的描述,他好像在这个事情上花了好多时间,可能

l*******g
发帖数: 27064
78
你就别来丢人现眼了
丰田的主要问题不在于程序有多烂
而是架构设计就有问题,几乎没有任何防护措施
就拿你的比喻来说,丰田车就好比天生有免疫缺陷,或者生下来就有艾滋病

【在 f******t 的大作中提到】
: 任何程序都不可能做到100%防御任何人为的攻击。
: 这位程序专家的做法就是类似于,主观意识上为了找任何能找的借口来说某个人身体不
: 健康,他的证明方法就是人为地往这个人身上打一剂毒药,然后那个人就当然死掉,因
: 此专家就得出结论说这个人免疫系统有问题,健康有问题。
: 有的人可能天生对某些毒药有抵抗力,但是只要专家不遗余力地穷举能找到的所有毒药
: ,必然能找到能毒死那个人的毒药出来。
: 放到程序上也是。对于任何程序,只要允许我手动暴力修改内存里的任何二进制信息,
: 我总能找到一种修改方法来让它崩溃掉并且崩溃之后产生我想要的行为。区别只是写的
: 好的程序,需要花更大力气来找出这种修改方法;写的不好的程序,不用费太多力气就
: 能找到这种修改方法。按照Barr专家的描述,他好像在这个事情上花了好多时间,可能

a*****t
发帖数: 1596
79
那是你刹车踩的不够深, 任何车的发动机动力都是比不过刹车的

【在 f******t 的大作中提到】
: 任何程序都不可能做到100%防御任何人为的攻击。
: 这位程序专家的做法就是类似于,主观意识上为了找任何能找的借口来说某个人身体不
: 健康,他的证明方法就是人为地往这个人身上打一剂毒药,然后那个人就当然死掉,因
: 此专家就得出结论说这个人免疫系统有问题,健康有问题。
: 有的人可能天生对某些毒药有抵抗力,但是只要专家不遗余力地穷举能找到的所有毒药
: ,必然能找到能毒死那个人的毒药出来。
: 放到程序上也是。对于任何程序,只要允许我手动暴力修改内存里的任何二进制信息,
: 我总能找到一种修改方法来让它崩溃掉并且崩溃之后产生我想要的行为。区别只是写的
: 好的程序,需要花更大力气来找出这种修改方法;写的不好的程序,不用费太多力气就
: 能找到这种修改方法。按照Barr专家的描述,他好像在这个事情上花了好多时间,可能

l*******g
发帖数: 27064
80
这的看速度,速度太高,踩到底的过程因为产生过多热量,刹车力度会大减,很可能是
刹不住的
圣迭戈那个撞死的警察,刹车踩得轮子都着火了都没刹住

【在 a*****t 的大作中提到】
: 那是你刹车踩的不够深, 任何车的发动机动力都是比不过刹车的
相关主题
EDN上对丰田杀手firmware的详细分析修完仍暴冲!丰田车主震惊投诉
汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?丰田向美国加州车祸受害者亲属赔偿1000万美元
zz 修完仍暴冲!丰田车主震惊投诉丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元
进入Automobile版参与讨论
A***n
发帖数: 8859
81
别扯了,consumer reports做过对比实验了,
一脚踩油门一脚同时踩刹车,
2010 Jetta 停得住,
2010 佳田不会停。
你也做个实验得了。

【在 f******t 的大作中提到】
: 我看到几个月前电嗝曾经在奔驰论坛上(mbworld或者benzworld,具体哪个记不清了,
: 大家可以去查一下;不过是人都能猜到,电嗝接下来必然会推托说那人不是他),发帖
: 抱怨过他的E350会偶尔刹车失灵但dealer总是查不出error code。我觉得这个也属于
: ECU的问题,应该去调查一下奔驰的ECU代码质量。
: 另外brake override具体怎样才能试出来呢?我近期租过的多辆奔驰,行驶中同时踩刹
: 车和油门,发动机还是会继续给油并且转速会上升。究竟怎样才能激活这个“刹车是爷
: ”功能呢?

m***j
发帖数: 533
82
到时候非礼猫肯定又拿出来什么什么证据证明他踩刹车了,哈哈
想起来当年在国内去验车,我都交了保护费了,说我爹的车手刹不合格,结果下来之后
管事的一看我交了钱了就骂那个检车员“你拉手刹了么?”然后再上去检就合格了。

【在 A***n 的大作中提到】
: 别扯了,consumer reports做过对比实验了,
: 一脚踩油门一脚同时踩刹车,
: 2010 Jetta 停得住,
: 2010 佳田不会停。
: 你也做个实验得了。

f******t
发帖数: 7283
83
你没明白我在讨论什么。我讨论的是:这位程序专家的这次行动,目的是什么呢?是一
个code review呢;还是想证明某些原告声称的“自动加速”,必定是程序造成的呢?
假如是code review,那是很正常的现象,没什么好奇怪的。
假如是用这个来证实自动加速的事件必定是因为程序造成,或者是原文里不明说而是暗
示这个结论,这个科学性就要打问号了。假如说“有可能”,那这就是“何患无辞”式
的说法了。
我不知道这回整个法律程序是怎样走;不过按照公正公平公开的原则,在我这行里假如
有研究调查报告,作者应该公开是谁付的报酬。

tool

【在 D***n 的大作中提到】
: 实在是不能理解为什么总有一些完全没搞过这方面测试的人跳出来举一些奇怪的例子。
: 猫这次写的东西完全off-topic。
: barr的评估方法和工具也是最普通最标准的,换了谁都会用某种static analysis tool
: 来进行分析。如果复杂度太高,静态分析就很容易失效,导致很多状态的测试很难完全
: 覆盖。barr因此提出抱怨非常正常。
: 所以丰田这个系统,本质上是无法100%可测的,这就是他反复强调的设计理念问题。这
: 样的程序,实际上无法维护,无法修改,无法完全测试,就像那1300行的函数都是90年
: 代中期以前的产物,到现在无人敢动。

m***j
发帖数: 533
84
证明的东西很简单:疯田在生产环节偷工减料,以次充好,不按行业规定设计程序,埋
下重大安全隐患。
调查报告已经给你主子疯田看过了,其中多数问题疯田都没有反驳,证明这些调查结果
是确实可靠的。你一个小喽罗在这JJYY什么?!

【在 f******t 的大作中提到】
: 你没明白我在讨论什么。我讨论的是:这位程序专家的这次行动,目的是什么呢?是一
: 个code review呢;还是想证明某些原告声称的“自动加速”,必定是程序造成的呢?
: 假如是code review,那是很正常的现象,没什么好奇怪的。
: 假如是用这个来证实自动加速的事件必定是因为程序造成,或者是原文里不明说而是暗
: 示这个结论,这个科学性就要打问号了。假如说“有可能”,那这就是“何患无辞”式
: 的说法了。
: 我不知道这回整个法律程序是怎样走;不过按照公正公平公开的原则,在我这行里假如
: 有研究调查报告,作者应该公开是谁付的报酬。
:
: tool

D***n
发帖数: 6804
85
你可能没看英文报道,barr找到了丰田ECU里面具体的哪个bug可以导致汽车车自动加速。
一个独立的Dev能顶住Toyota强大的律师,说服不懂编程的法官和陪审团做出这样的判
决。没点硬家伙在手里,可能吗?

【在 f******t 的大作中提到】
: 你没明白我在讨论什么。我讨论的是:这位程序专家的这次行动,目的是什么呢?是一
: 个code review呢;还是想证明某些原告声称的“自动加速”,必定是程序造成的呢?
: 假如是code review,那是很正常的现象,没什么好奇怪的。
: 假如是用这个来证实自动加速的事件必定是因为程序造成,或者是原文里不明说而是暗
: 示这个结论,这个科学性就要打问号了。假如说“有可能”,那这就是“何患无辞”式
: 的说法了。
: 我不知道这回整个法律程序是怎样走;不过按照公正公平公开的原则,在我这行里假如
: 有研究调查报告,作者应该公开是谁付的报酬。
:
: tool

s****e
发帖数: 638
86
导致崩溃的是严重bug,大多数bug用户根本察觉不到。比如导致你系统跑慢一点,比如
算错一点点,比如你仿真的精度出点问题,你也不知道。比如你的recursion大部分时间
都不会出问题,但深度太大,stack就越界overflow了。即使这个发生了你也不一定察
觉到。 当年奔腾芯片的浮点运算有重大bug,普通用户根本感觉不到。AMD早期仿制
Intel芯片时连bug也要一起复制,因为稍有差别就卖不出去。芯片的核要用5到10年,
每次流片都要修改, 已经卖出去的通过firmware绕过去。而且软硬件系统都有纠错机制
。比如server用的内存要ECC。出错了重算。电子迁移导致一些memory bits死了,就会
自动启动备用bits。比如家用PC也可以记住磁盘坏点继续使用好的部分。

SegFault

【在 D***n 的大作中提到】
: 我以前写过物理仿真,一次要100% CPU跑1个星期,只要一次计算出错就会导致立刻
: SegFault,那个程序我跑了好几年。我的计算机也经常一年不关机。每一次的SegFault
: 我都分析过(这也是我的主要目的),没有一次是你说的这种所谓系统随机出错的情况
: 。而CPU和主板,内存都是去中关村奸商那里买的。
: 请你回答我的问题:为啥Intel CPU能做到这一点,WHY ?

f******t
发帖数: 7283
87
任何一辆车的ECU程序,只要花一定的时间去穷举和尝试,必定能找到一个地方,只要
它运行的时候,我把这个地方的二进制值对调一下,就能让程序失控。至于评审法官和
陪审团怎么看待这个逻辑,或者说他们到底有没有科学的思维,这就不好说了。
所以我就说为啥不公布一下是谁付“独立的Dev”的报酬的呢?总不会是免费干活的吧。

速。

【在 D***n 的大作中提到】
: 你可能没看英文报道,barr找到了丰田ECU里面具体的哪个bug可以导致汽车车自动加速。
: 一个独立的Dev能顶住Toyota强大的律师,说服不懂编程的法官和陪审团做出这样的判
: 决。没点硬家伙在手里,可能吗?

s****e
发帖数: 638
88
barr找到的是可能原因,是设计缺陷。比如bit反转后没有保护。stack可能overflow.
对工程师来说,无法100%确认这个的确是原因。barr证明了bit反转会失控。如果barr
能用几个操作重现bit反转,那就毫无疑问了。这个是不是真正原因,可能是,也可能
不是。
对了,按你说的bug标准,一个寄存器bit发生反转没保护算bug么。你的程序考虑bit会
反转么?

速。

【在 D***n 的大作中提到】
: 你可能没看英文报道,barr找到了丰田ECU里面具体的哪个bug可以导致汽车车自动加速。
: 一个独立的Dev能顶住Toyota强大的律师,说服不懂编程的法官和陪审团做出这样的判
: 决。没点硬家伙在手里,可能吗?

j****l
发帖数: 3356
89
超过一万一千个全局变量!这是要编新语言吗?

【在 j*********n 的大作中提到】
: 一个递归有深吗?
: 来考试了,谁能用循环来实现递归。

D***n
发帖数: 6804
90
那是你的想当然,我的仿真精度如果出了问题,最后的累计误差就和平时不一样,直接
程序就报了。如果是寄存器某个位数反转,还有1/4的可能是直接SegFault。抱歉我从
未看到过。
当年奔腾芯片那个错误是做90亿次整除才有一次概率,怎么找出来的?你这方面了解实
在太少。

【在 s****e 的大作中提到】
: 导致崩溃的是严重bug,大多数bug用户根本察觉不到。比如导致你系统跑慢一点,比如
: 算错一点点,比如你仿真的精度出点问题,你也不知道。比如你的recursion大部分时间
: 都不会出问题,但深度太大,stack就越界overflow了。即使这个发生了你也不一定察
: 觉到。 当年奔腾芯片的浮点运算有重大bug,普通用户根本感觉不到。AMD早期仿制
: Intel芯片时连bug也要一起复制,因为稍有差别就卖不出去。芯片的核要用5到10年,
: 每次流片都要修改, 已经卖出去的通过firmware绕过去。而且软硬件系统都有纠错机制
: 。比如server用的内存要ECC。出错了重算。电子迁移导致一些memory bits死了,就会
: 自动启动备用bits。比如家用PC也可以记住磁盘坏点继续使用好的部分。
:
: SegFault

相关主题
森林人卖的这么火爆?丰田的防盗系统真垃圾
说说 丰田自动加速暴冲、如何处理以及买车丰田因“杀人固件”被罚300万美元
说说 丰田自动加速暴冲、如何处理以及买车关于丰田车自动加速问题直白的解释
进入Automobile版参与讨论
u****u
发帖数: 229
91
Barr提出的证词是说明,在某种情况下,一个偶然的错误可以导致系统无法恢复的失控
,而且他能够在实验室里复制出这种失控的情况。
随便一个车的程序,你动了内存的内容,当然可以让程序失控,不过关键的问题是这种
失控是必须能够马上检测出来并且恢复的,如果不能恢复的话就必须将系统自动置于一
种安全的状态。这是系统设计最基本的要求,不能打马虎眼的。现在法庭的看法就是显
然存在着某种情况会使这种要求无法达到,所以才同意赔偿。
关键不是失控,而是不能恢复。

吧。

【在 f******t 的大作中提到】
: 任何一辆车的ECU程序,只要花一定的时间去穷举和尝试,必定能找到一个地方,只要
: 它运行的时候,我把这个地方的二进制值对调一下,就能让程序失控。至于评审法官和
: 陪审团怎么看待这个逻辑,或者说他们到底有没有科学的思维,这就不好说了。
: 所以我就说为啥不公布一下是谁付“独立的Dev”的报酬的呢?总不会是免费干活的吧。
:
: 速。

s****e
发帖数: 638
92
另外打官司的关键是律师。可以周围打听一下有多少July duty工程师能被选中,一般
来说律师喜欢感情用事好激动受教育不高的。工程师和医生等职业的不太受欢迎,统计
概率上说这类人的逻辑思维强,不易受引导。我们这个版上倒是有不少律师喜欢的。

速。

【在 D***n 的大作中提到】
: 你可能没看英文报道,barr找到了丰田ECU里面具体的哪个bug可以导致汽车车自动加速。
: 一个独立的Dev能顶住Toyota强大的律师,说服不懂编程的法官和陪审团做出这样的判
: 决。没点硬家伙在手里,可能吗?

l*******g
发帖数: 27064
93
lol
只要认为丰田有问题就不科学

吧。

【在 f******t 的大作中提到】
: 任何一辆车的ECU程序,只要花一定的时间去穷举和尝试,必定能找到一个地方,只要
: 它运行的时候,我把这个地方的二进制值对调一下,就能让程序失控。至于评审法官和
: 陪审团怎么看待这个逻辑,或者说他们到底有没有科学的思维,这就不好说了。
: 所以我就说为啥不公布一下是谁付“独立的Dev”的报酬的呢?总不会是免费干活的吧。
:
: 速。

s****e
发帖数: 638
94
唉,以你的知识储备理解不了我在说什么。建议你有点工作经验后重新想想。

【在 D***n 的大作中提到】
: 那是你的想当然,我的仿真精度如果出了问题,最后的累计误差就和平时不一样,直接
: 程序就报了。如果是寄存器某个位数反转,还有1/4的可能是直接SegFault。抱歉我从
: 未看到过。
: 当年奔腾芯片那个错误是做90亿次整除才有一次概率,怎么找出来的?你这方面了解实
: 在太少。

D***n
发帖数: 6804
95
可以负责地说你的相关知识储备为0,完全看不懂Barr是怎么做的,尽是一些幼儿问题
在这里胡搅蛮缠,再见。

【在 s****e 的大作中提到】
: 唉,以你的知识储备理解不了我在说什么。建议你有点工作经验后重新想想。
f******t
发帖数: 7283
96
我这里讨论的不是你做过什么,遇到过什么。我说的是这位“独立DEV”的情况。我读
了一遍那个286页的庭审记录。我找到这么一些信息:
1. 第220页,Barr称在研究toyota的代码之前,他从来没从事过研究和分析汽车ECU程
序的经验;
2. 221页,Barr称自己之前从来没看过和研究过其它汽车厂商的程序;
3. Barr说他这个研究和分析,他每小时的工作收费$400到$525,并且他说自己花了上
千小时来搞这个(太赚了,这么一笔生意,50多万甚至一百万美元就到手了)。律师问
他是不是两千或者三千个小时,Barr说自己不确定。
4. Barr的这个带来丰厚收入的研究,是原告付钱让他做的。
只是陈述庭审记录的一些细节而已,没有任何其它意思。不过你看,两三千个小时来找
些理由,不容易啊。

【在 D***n 的大作中提到】
: 那是你的想当然,我的仿真精度如果出了问题,最后的累计误差就和平时不一样,直接
: 程序就报了。如果是寄存器某个位数反转,还有1/4的可能是直接SegFault。抱歉我从
: 未看到过。
: 当年奔腾芯片那个错误是做90亿次整除才有一次概率,怎么找出来的?你这方面了解实
: 在太少。

s****e
发帖数: 638
97
哈哈,比我还极端。 你体力好,赢了。

【在 D***n 的大作中提到】
: 可以负责地说你的相关知识储备为0,完全看不懂Barr是怎么做的,尽是一些幼儿问题
: 在这里胡搅蛮缠,再见。

D***n
发帖数: 6804
98
哦!你的意思是:一个外行菜鸟,只要给钱给时间就能发现丰田的自动加速程序的错误。
请问这是这哥们太聪明,还是丰田的错误太直白,管理太糟糕?

【在 f******t 的大作中提到】
: 我这里讨论的不是你做过什么,遇到过什么。我说的是这位“独立DEV”的情况。我读
: 了一遍那个286页的庭审记录。我找到这么一些信息:
: 1. 第220页,Barr称在研究toyota的代码之前,他从来没从事过研究和分析汽车ECU程
: 序的经验;
: 2. 221页,Barr称自己之前从来没看过和研究过其它汽车厂商的程序;
: 3. Barr说他这个研究和分析,他每小时的工作收费$400到$525,并且他说自己花了上
: 千小时来搞这个(太赚了,这么一笔生意,50多万甚至一百万美元就到手了)。律师问
: 他是不是两千或者三千个小时,Barr说自己不确定。
: 4. Barr的这个带来丰厚收入的研究,是原告付钱让他做的。
: 只是陈述庭审记录的一些细节而已,没有任何其它意思。不过你看,两三千个小时来找

l*******g
发帖数: 27064
99
丰田托一贯的做法
和左逼媒体一个样
遇到问题不敢正面应对,就是故意咬文嚼字,找对方的所谓的错误或者不足之处使劲踩
就和国内只要想整人就去挖什么出轨找小姐一个意思
好降低对方的credit,变相替丰田辩护

误。

【在 D***n 的大作中提到】
: 哦!你的意思是:一个外行菜鸟,只要给钱给时间就能发现丰田的自动加速程序的错误。
: 请问这是这哥们太聪明,还是丰田的错误太直白,管理太糟糕?

T*U
发帖数: 22634
100
难道不是Toyota最后附钱给barr?

【在 f******t 的大作中提到】
: 你没明白我在讨论什么。我讨论的是:这位程序专家的这次行动,目的是什么呢?是一
: 个code review呢;还是想证明某些原告声称的“自动加速”,必定是程序造成的呢?
: 假如是code review,那是很正常的现象,没什么好奇怪的。
: 假如是用这个来证实自动加速的事件必定是因为程序造成,或者是原文里不明说而是暗
: 示这个结论,这个科学性就要打问号了。假如说“有可能”,那这就是“何患无辞”式
: 的说法了。
: 我不知道这回整个法律程序是怎样走;不过按照公正公平公开的原则,在我这行里假如
: 有研究调查报告,作者应该公开是谁付的报酬。
:
: tool

相关主题
我擦,谁把丰田工程师该枪毙那个帖子删了/丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?
丰田都做了那些to fix 自动加速问题丰田:2013版已经全部加刹车优先系统。。。
这次Michael Barr给全世界人民做了件好事自动加速不是大问题
进入Automobile版参与讨论
h**z
发帖数: 9751
101
请问丰田5毛如何解释下面的
“最后顺带说一下那份800页,13章的详细报告完成后,Barr将其提交给了丰田的软件部
门,等待他们的反驳。最终结果是“非常少(Very little)”,13章中的11章,包括
堆栈溢出的部分、代码混乱的部分、违反开发规范的部分、Task X过于臃肿甚至兼任节
气门控制和防护措施的部分、看门狗形同虚设的部分、无EDAC的部分、重要变量缺乏保
护的部分、使用了非标准化操作系统的部分,全部没受到任何形式的反驳。”

【在 f******t 的大作中提到】
: 我这里讨论的不是你做过什么,遇到过什么。我说的是这位“独立DEV”的情况。我读
: 了一遍那个286页的庭审记录。我找到这么一些信息:
: 1. 第220页,Barr称在研究toyota的代码之前,他从来没从事过研究和分析汽车ECU程
: 序的经验;
: 2. 221页,Barr称自己之前从来没看过和研究过其它汽车厂商的程序;
: 3. Barr说他这个研究和分析,他每小时的工作收费$400到$525,并且他说自己花了上
: 千小时来搞这个(太赚了,这么一笔生意,50多万甚至一百万美元就到手了)。律师问
: 他是不是两千或者三千个小时,Barr说自己不确定。
: 4. Barr的这个带来丰厚收入的研究,是原告付钱让他做的。
: 只是陈述庭审记录的一些细节而已,没有任何其它意思。不过你看,两三千个小时来找

l*******g
发帖数: 27064
102
不是,看样子应该是律师们从分得的份额里面拿出一部分
500多一个小时,花了至少1000多个小时
应该还不止他一个人,律师团们看来是下血本了
丰田在这方面应该是没啥能反击的
否则早就跳出来了,现在丰田就是想息事宁人,尽量让越少的人知道越好
盖子捂住了,丰田就胜利了
说是威胁媒体不让报道,肯定背后不少塞钱
不过我觉得这种事情,丰田很可能封锁不住的
那些自动加速出了大事故的人肯定不会放过这个机会
不过应该对丰田未来影响不大,随便张口就来新车重新开发的漏洞都补全了就可以继续
糊弄人了

【在 T*U 的大作中提到】
: 难道不是Toyota最后附钱给barr?
h**z
发帖数: 9751
103
说白了,所有软件可能出现的种种意外,所以要做层层防护。丰田首先违规代码太多,
出错可能大,后来错误越犯越多,防护措施没用。为了省成本极品到最基本的刹车优先
都没装。
f******t
发帖数: 7283
104
$400到$525一个小时的劳务费,这个比当律师和当医生更赚。没啥其它意思,只是想提
醒你客观看待事情而已。

误。

【在 D***n 的大作中提到】
: 哦!你的意思是:一个外行菜鸟,只要给钱给时间就能发现丰田的自动加速程序的错误。
: 请问这是这哥们太聪明,还是丰田的错误太直白,管理太糟糕?

l*******g
发帖数: 27064
105
lol
大家都客观的很
就你在那胡搅蛮缠瞎扯淡

【在 f******t 的大作中提到】
: $400到$525一个小时的劳务费,这个比当律师和当医生更赚。没啥其它意思,只是想提
: 醒你客观看待事情而已。
:
: 误。

h**z
发帖数: 9751
106
肥力猫的良心让丰田5毛钱一斤买走了,丰田花了¥0.25。

【在 l*******g 的大作中提到】
: lol
: 大家都客观的很
: 就你在那胡搅蛮缠瞎扯淡

D***n
发帖数: 6804
107
微软,谷歌等各大公司还乞求这样的找bug专家给他们看看,微软给这样的bug明面价是
10万美元一个。黑市价就更高了。
Barr发现这么多严重bug才得50万美元,丰田赚了。

【在 f******t 的大作中提到】
: $400到$525一个小时的劳务费,这个比当律师和当医生更赚。没啥其它意思,只是想提
: 醒你客观看待事情而已。
:
: 误。

q*d
发帖数: 22178
108
1300行的函数,
一天写100行不算很有效的程序员吧..

tool
体不
,因
毒药
息,
写的
气就
可能

【在 D***n 的大作中提到】
: 实在是不能理解为什么总有一些完全没搞过这方面测试的人跳出来举一些奇怪的例子。
: 猫这次写的东西完全off-topic。
: barr的评估方法和工具也是最普通最标准的,换了谁都会用某种static analysis tool
: 来进行分析。如果复杂度太高,静态分析就很容易失效,导致很多状态的测试很难完全
: 覆盖。barr因此提出抱怨非常正常。
: 所以丰田这个系统,本质上是无法100%可测的,这就是他反复强调的设计理念问题。这
: 样的程序,实际上无法维护,无法修改,无法完全测试,就像那1300行的函数都是90年
: 代中期以前的产物,到现在无人敢动。

q*d
发帖数: 22178
109
一般说too good to be true.
这个帖子too simple to be true.
这厮一把就发现这么多这么简单的问题,
给人一种民科证明哥德巴赫猜想的感觉.

传。
50
7000
20
Brake
患。
ES

【在 j*********n 的大作中提到】
: 【 以下文字转载自 Auto_Fans 俱乐部 】
: 发信人: andrews (旱鸭子), 信区: Auto_Fans
: 标 题: 丰田工程师真的该枪毙啊
: 发信站: BBS 未名空间站 (Sun Nov 3 00:14:23 2013, 美东)
: 看下面的这文章,我是无语了……
: 以前不知道什么是"在看不到的地方偷工减料", 这回见识了。 以后不敢买丰田车了
: 转贴自:http://club.tgfcer.com/thread-6817371-1-1.html 网友Kuzuryuusen的文章
: ----------------------------
: 【第一部分】背景简介
: 前几年闹得沸沸扬扬的丰田刹不住事件最近又有新进展。十月底俄克拉荷马的一次庭审

f******t
发帖数: 7283
110
每小时$400到$525的报酬。假如是我的话,没问题也要创造问题。

【在 q*d 的大作中提到】
: 一般说too good to be true.
: 这个帖子too simple to be true.
: 这厮一把就发现这么多这么简单的问题,
: 给人一种民科证明哥德巴赫猜想的感觉.
:
: 传。
: 50
: 7000
: 20
: Brake

相关主题
自动加速不是大问题汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?
为修复软件故障,丰田召回超过总销量半数的普瑞斯zz 修完仍暴冲!丰田车主震惊投诉
EDN上对丰田杀手firmware的详细分析修完仍暴冲!丰田车主震惊投诉
进入Automobile版参与讨论
h**z
发帖数: 9751
111
丰田软件部门对提出的软件问题有什么实质反驳?
另外,尼格码工,虽然是半路出家的,还号称自己读了报告,如果你看懂的话,你说说
哪些个问题是没有问题创造出来的。

【在 f******t 的大作中提到】
: 每小时$400到$525的报酬。假如是我的话,没问题也要创造问题。
y******e
发帖数: 1194
112
你还知道自己吃几碗干饭么?

【在 f******t 的大作中提到】
: 每小时$400到$525的报酬。假如是我的话,没问题也要创造问题。
s****e
发帖数: 638
113
平时给别人戴五毛,这次戴上五毛的帽子解释一下:)
下面这些缺陷指控对Toyota不利。但不足以让原告胜诉。胜诉的关键要证明这些缺陷直
接导致事故。可能性是无法定罪的。(脱下五毛帽子解释一下,我倾向于相信) 回头
看了下文章。Micheal Barr的报告是比较中肯的。Barr认为Toyota软件问题很多,所以
more likely than not.很有可能,但可能无法证明。Barr的实验中人工输入错误可以
成功导致爆冲,但踩下刹车一秒后节气门关闭。如果爆冲发生了,驾驶者同时死死踩住
刹车,会导致持续加速。但这又与起诉方反复踩踏刹车的说法矛盾。Barr的证词对
Toyota虽不利,但看起来Toyota两点质疑是关键的,导致原告胜诉的把握不大,否则不
会区区300万美元就达成和解。这中间光是Barr团队的劳务费和律师费就要一大半,原
告拿不到多少钱。对Toyota来说300万美元可能不及律师费的零头。当然,这个和解可
能会影响事态发展,会鼓励更多的人出来起诉。如果能确定Toyota的问题,不会是区区
几百万,会导致数亿的集体诉讼。 但我并不看好集体诉讼。 Barr提供的报告不是很过
硬。

件部

【在 h**z 的大作中提到】
: 请问丰田5毛如何解释下面的
: “最后顺带说一下那份800页,13章的详细报告完成后,Barr将其提交给了丰田的软件部
: 门,等待他们的反驳。最终结果是“非常少(Very little)”,13章中的11章,包括
: 堆栈溢出的部分、代码混乱的部分、违反开发规范的部分、Task X过于臃肿甚至兼任节
: 气门控制和防护措施的部分、看门狗形同虚设的部分、无EDAC的部分、重要变量缺乏保
: 护的部分、使用了非标准化操作系统的部分,全部没受到任何形式的反驳。”

j*********n
发帖数: 6034
114
这事情有啥好讨论的,稍有智商的人都知道,谁家软件也有可能栏的一塌糊涂,可是,
烂还不给装刹车优先。那是啥问题。
各位小英雄注意,千万不要在此楼骂人。
y******e
发帖数: 1194
115
你这贴除了闭眼也能想到的猫猫之外,还调出了许多的丰田洗地党。我要有包子的话,
就给你几个了。

【在 j*********n 的大作中提到】
: 这事情有啥好讨论的,稍有智商的人都知道,谁家软件也有可能栏的一塌糊涂,可是,
: 烂还不给装刹车优先。那是啥问题。
: 各位小英雄注意,千万不要在此楼骂人。

s****e
发帖数: 638
116
“测试人员踩下刹车。大约1秒以后节气门被关闭,Barr认为这是上述“刹车回声检查
”的功劳。”
~~~~~~~~~~~~~
也有保护机制。当然Barr认为(没有证明)“刹车回声检查”理论上靠不住。大型软件
都烂估计是实话。我们的全世界dominant,但要捏着鼻子才能看得下去。 那里去找一
大堆高手做一个又臭又长的软件。大多数程序员都是半吊子。

【在 j*********n 的大作中提到】
: 这事情有啥好讨论的,稍有智商的人都知道,谁家软件也有可能栏的一塌糊涂,可是,
: 烂还不给装刹车优先。那是啥问题。
: 各位小英雄注意,千万不要在此楼骂人。

m***j
发帖数: 533
117
法律是一方面,但是这证据已经可以直接证明疯田设计缺陷。如果让更多的人知道疯田
设计缺陷这一事实,这一个case是否胜诉就不重要了。而疯田怕的就是更多的人知道影
响他们的sales,而这一个(甚至若干个)case的输赢并不重要。之前的那些暴冲case
疯田打得就是这么一个牌,毕竟这些case是少数,只要继续忽悠消费者买,不让大家知
道设计缺陷,就行了。而这次律师团揪住了这一点,抛开这一个case输赢不谈,就是要
让疯田的设计缺陷曝光,这样疯田就彻底头大了。

【在 s****e 的大作中提到】
: 平时给别人戴五毛,这次戴上五毛的帽子解释一下:)
: 下面这些缺陷指控对Toyota不利。但不足以让原告胜诉。胜诉的关键要证明这些缺陷直
: 接导致事故。可能性是无法定罪的。(脱下五毛帽子解释一下,我倾向于相信) 回头
: 看了下文章。Micheal Barr的报告是比较中肯的。Barr认为Toyota软件问题很多,所以
: more likely than not.很有可能,但可能无法证明。Barr的实验中人工输入错误可以
: 成功导致爆冲,但踩下刹车一秒后节气门关闭。如果爆冲发生了,驾驶者同时死死踩住
: 刹车,会导致持续加速。但这又与起诉方反复踩踏刹车的说法矛盾。Barr的证词对
: Toyota虽不利,但看起来Toyota两点质疑是关键的,导致原告胜诉的把握不大,否则不
: 会区区300万美元就达成和解。这中间光是Barr团队的劳务费和律师费就要一大半,原
: 告拿不到多少钱。对Toyota来说300万美元可能不及律师费的零头。当然,这个和解可

j*********n
发帖数: 6034
118
别给,我灌水的包子都送乖叔,你不想给包子给乖叔吧。
我用包子堵他的嘴。LOL。

【在 y******e 的大作中提到】
: 你这贴除了闭眼也能想到的猫猫之外,还调出了许多的丰田洗地党。我要有包子的话,
: 就给你几个了。

s****e
发帖数: 638
119
Barr说他非常害怕买新车。不光是疯田,:) 想着每个芯片里都是大堆的bug,说实话
我有些害怕坐飞机。

case

【在 m***j 的大作中提到】
: 法律是一方面,但是这证据已经可以直接证明疯田设计缺陷。如果让更多的人知道疯田
: 设计缺陷这一事实,这一个case是否胜诉就不重要了。而疯田怕的就是更多的人知道影
: 响他们的sales,而这一个(甚至若干个)case的输赢并不重要。之前的那些暴冲case
: 疯田打得就是这么一个牌,毕竟这些case是少数,只要继续忽悠消费者买,不让大家知
: 道设计缺陷,就行了。而这次律师团揪住了这一点,抛开这一个case输赢不谈,就是要
: 让疯田的设计缺陷曝光,这样疯田就彻底头大了。

y******e
发帖数: 1194
120
又回到 “其实大家都烂” 的这个中心思想上来了。

【在 s****e 的大作中提到】
: Barr说他非常害怕买新车。不光是疯田,:) 想着每个芯片里都是大堆的bug,说实话
: 我有些害怕坐飞机。
:
: case

相关主题
丰田向美国加州车祸受害者亲属赔偿1000万美元说说 丰田自动加速暴冲、如何处理以及买车
丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元说说 丰田自动加速暴冲、如何处理以及买车
森林人卖的这么火爆?丰田的防盗系统真垃圾
进入Automobile版参与讨论
m***j
发帖数: 533
121
知道的人都不会买疯田。可是这事有多少人知道?你周围有人知道么?

【在 s****e 的大作中提到】
: Barr说他非常害怕买新车。不光是疯田,:) 想着每个芯片里都是大堆的bug,说实话
: 我有些害怕坐飞机。
:
: case

s****e
发帖数: 638
122
你是最受律师欢迎的陪审团侯选人.火眼金睛疯田洗地党伪装再好也逃不过你的法眼。
大国崛起就靠你了。

【在 y******e 的大作中提到】
: 又回到 “其实大家都烂” 的这个中心思想上来了。
H*****i
发帖数: 1867
123
我是码工,完全能看懂。但是我非常理解丰田。从码工的角度,这些都是系统老旧的自
然现象。丰田该重写代码。

【在 f******y 的大作中提到】
: 这个文章太专业了,大部分人不明白。不影响继续放心购买。
s****e
发帖数: 638
124
I doubt that。
可以说疯田软件之烂在我意料之中,适用于大多数公司。我认为有相关经验的根本不会
care, 普通人则看不懂。

【在 m***j 的大作中提到】
: 知道的人都不会买疯田。可是这事有多少人知道?你周围有人知道么?
H*****i
发帖数: 1867
125
说得对。

【在 s****e 的大作中提到】
: 丰田汽车的软件里有大量设计缺陷不让人意外。究竟是不是现在查出来的原因,也许是
: 。但用同样手段去查查各家的系统,丰田的系统是否最业余的,这还真不好说。简单的
: 说,复杂系统的状态对工程师的验证测试手段来说是无穷尽的。没有办法全部验证到。
: 可以说所有的系统都大堆的bug。我见过几个垄断市场的软硬件系统,进去看看代码,
: 低级错误比比皆是,大家用的挺欢,因为别人的更垃圾。小到手表,计算器,大到飞机
: ,太空船,无一例外都有大量的明的暗的问题。当然对于关键系统,比如银行系统,飞
: 机,核电站,卫星之类的靠技术手段提高容错能力。比如银行,飞机等系统用的芯片性
: 能要求不高,尽量不用复杂的技术,大冗余度复杂的校验。 比如用几个的core执行同
: 样的指令,有一个对不上就重新执行。再严格点的比如卫星上使用的芯片比同样性能的
: 民用的贵成千上万倍。

y******e
发帖数: 1194
126
承让了。

【在 s****e 的大作中提到】
: 你是最受律师欢迎的陪审团侯选人.火眼金睛疯田洗地党伪装再好也逃不过你的法眼。
: 大国崛起就靠你了。

a****l
发帖数: 8211
127
越描越黑。本来让一个专家找出系统的问题是很正常的一点都不丢脸,现在变成了让一
个菜鸟随便就找出了问题,难道丰田那么多专家都是吃干饭的,连这么一个菜鸟都不如
?这脸可丢大了。

误。

【在 D***n 的大作中提到】
: 哦!你的意思是:一个外行菜鸟,只要给钱给时间就能发现丰田的自动加速程序的错误。
: 请问这是这哥们太聪明,还是丰田的错误太直白,管理太糟糕?

m***j
发帖数: 533
128
是不是专业人员做的事外行人就没有发言权?

【在 a****l 的大作中提到】
: 越描越黑。本来让一个专家找出系统的问题是很正常的一点都不丢脸,现在变成了让一
: 个菜鸟随便就找出了问题,难道丰田那么多专家都是吃干饭的,连这么一个菜鸟都不如
: ?这脸可丢大了。
:
: 误。

l*******g
发帖数: 27064
129
好多新帐号,看来丰田托们都纷纷上马甲了
主要宗旨就是大家都一样烂,另外就是barr的证据不确定性
反正只要说丰田有问题就是不科学,就是故意挑刺
r********y
发帖数: 2540
130
完全符合日本人的民族性

【在 t*****s 的大作中提到】
: 更为恶劣的是丰田一直试图掩盖事实的真相,而不是解决问题
相关主题
丰田因“杀人固件”被罚300万美元丰田都做了那些to fix 自动加速问题
关于丰田车自动加速问题直白的解释这次Michael Barr给全世界人民做了件好事
我擦,谁把丰田工程师该枪毙那个帖子删了/丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?
进入Automobile版参与讨论
a***e
发帖数: 27968
131
typical car cost $10,000, 20% is 2000.world wide car sale 40M unit.
so the car chips market is $80B a year. intel revenue is $60B max.
holly crap.

【在 s****e 的大作中提到】
: 汽车不是飞机,大概没有人会用几个core的冗余去提高容错度。没有那个公司会这样,
: 成本问题。 上次那里看到芯片成本已占现代汽车成本的20%。 至于行业标准,我知道
: 最基本的ABI(Application binary interface)嵌入式compiler公司也无法遵
: 守。比如你要求参数传递的寄存器位置,堆栈深度限制,endian等等,大家都按自己
: 熟悉的来。也不是你一个客户,大家都是焦头烂额赶进度。 能work就不错了。 碰到意
: 外就倒霉。

a***e
发帖数: 27968
132
watchdog failure is not acceptable.
hard to imagine others will design watchdog this way.

【在 s****e 的大作中提到】
: 我是就事论事,从专业角度出发看所发现的问题。
g*********r
发帖数: 403
133
哪几年生产的车有可能用这类有问题的系统?
a***e
发帖数: 27968
134
task x might be the only code that is written by toyota, or only the guy
write the code still working there therefore any new functions are added to
it.
a malfunction watchdog is the biggest problem.

【在 H*****i 的大作中提到】
: 我是码工,完全能看懂。但是我非常理解丰田。从码工的角度,这些都是系统老旧的自
: 然现象。丰田该重写代码。

g*********r
发帖数: 403
135
爆冲丰田
l*********s
发帖数: 1183
136
我们公司做的embedded code generation tools的用户包括Denso/Toyota, 那是auto
market; aerospace的基本上包括了所有耳熟能详的民用/军用公司。
反正听说Boeing的客户有一次透露他们的code也是惨不忍睹, go figure ...

【在 s****e 的大作中提到】
: Barr说他非常害怕买新车。不光是疯田,:) 想着每个芯片里都是大堆的bug,说实话
: 我有些害怕坐飞机。
:
: case

A***o
发帖数: 135
137
用户把油门当刹车踩的可能性大还是bit无故反转的可能性大?

【在 j*********n 的大作中提到】
: 别给,我灌水的包子都送乖叔,你不想给包子给乖叔吧。
: 我用包子堵他的嘴。LOL。

a***e
发帖数: 27968
138
油门当刹车轮胎能着火?

【在 A***o 的大作中提到】
: 用户把油门当刹车踩的可能性大还是bit无故反转的可能性大?
a***e
发帖数: 27968
139
油门当刹车轮胎能着火?

【在 A***o 的大作中提到】
: 用户把油门当刹车踩的可能性大还是bit无故反转的可能性大?
B*G
发帖数: 13438
140
作为嵌入式系统最大的应用之一,总体盘子比intel大很正常吧

【在 a***e 的大作中提到】
: typical car cost $10,000, 20% is 2000.world wide car sale 40M unit.
: so the car chips market is $80B a year. intel revenue is $60B max.
: holly crap.

相关主题
丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?为修复软件故障,丰田召回超过总销量半数的普瑞斯
丰田:2013版已经全部加刹车优先系统。。。EDN上对丰田杀手firmware的详细分析
自动加速不是大问题汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?
进入Automobile版参与讨论
s****e
发帖数: 638
141
自带干粮再洗一把地。那里提到malfunction watch dog导致了事故?Barr的报告是分
析这个缺陷可能导致灾难。唯一的试验是bit反转,不也是跟原告描述的矛盾么。Barr
的报告对丰田形象不利,但对官司没什么根本帮助。当然报告损害丰田形象,丰田就止
损给3百万打发了。

to

【在 a***e 的大作中提到】
: task x might be the only code that is written by toyota, or only the guy
: write the code still working there therefore any new functions are added to
: it.
: a malfunction watchdog is the biggest problem.

s****e
发帖数: 638
142
让教授来看公司的code,公司肯定是羞于拿出手。 不过自信慢慢的教授一旦跳入公司
火坑,整天忙于应付deadline, 到处救火,四处hacking,写出的code也好不到哪里去。

【在 a****l 的大作中提到】
: 越描越黑。本来让一个专家找出系统的问题是很正常的一点都不丢脸,现在变成了让一
: 个菜鸟随便就找出了问题,难道丰田那么多专家都是吃干饭的,连这么一个菜鸟都不如
: ?这脸可丢大了。
:
: 误。

n**s
发帖数: 2230
143
丰田的烂程序不是按教授标准烂,而是按计算机专业的本科生标准来看,都烂的一塌糊
涂。这样的程序在稍微正规点的公司,都过不了review



【在 s****e 的大作中提到】
: 让教授来看公司的code,公司肯定是羞于拿出手。 不过自信慢慢的教授一旦跳入公司
: 火坑,整天忙于应付deadline, 到处救火,四处hacking,写出的code也好不到哪里去。

a***e
发帖数: 27968
144
关键一点你有看漏了,要关气门,必须脚完全离开刹车才行
反复刹车一般就是点刹类似的动作,因此不会关气门

【在 s****e 的大作中提到】
: 平时给别人戴五毛,这次戴上五毛的帽子解释一下:)
: 下面这些缺陷指控对Toyota不利。但不足以让原告胜诉。胜诉的关键要证明这些缺陷直
: 接导致事故。可能性是无法定罪的。(脱下五毛帽子解释一下,我倾向于相信) 回头
: 看了下文章。Micheal Barr的报告是比较中肯的。Barr认为Toyota软件问题很多,所以
: more likely than not.很有可能,但可能无法证明。Barr的实验中人工输入错误可以
: 成功导致爆冲,但踩下刹车一秒后节气门关闭。如果爆冲发生了,驾驶者同时死死踩住
: 刹车,会导致持续加速。但这又与起诉方反复踩踏刹车的说法矛盾。Barr的证词对
: Toyota虽不利,但看起来Toyota两点质疑是关键的,导致原告胜诉的把握不大,否则不
: 会区区300万美元就达成和解。这中间光是Barr团队的劳务费和律师费就要一大半,原
: 告拿不到多少钱。对Toyota来说300万美元可能不及律师费的零头。当然,这个和解可

s****e
发帖数: 638
145
salute, 阁下应该能搞掂所有丰田工程师。

【在 n**s 的大作中提到】
: 丰田的烂程序不是按教授标准烂,而是按计算机专业的本科生标准来看,都烂的一塌糊
: 涂。这样的程序在稍微正规点的公司,都过不了review
:
: 。

A***o
发帖数: 135
146
雷克萨斯事故是因为dealer装错脚垫,其他所有事故都是踩错刹车,这是美国交通部的
权威结论。
http://www.caranddriver.com/features/its-all-your-fault-the-dot

【在 a***e 的大作中提到】
: 油门当刹车轮胎能着火?
s****e
发帖数: 638
147
还有一点说不园啊,现场发现了刹车痕迹。 那到底是刹成没有啊?

【在 a***e 的大作中提到】
: 关键一点你有看漏了,要关气门,必须脚完全离开刹车才行
: 反复刹车一般就是点刹类似的动作,因此不会关气门

n**s
发帖数: 2230
148
作为一个有10年以上经验的码农,我只能说丰田工程师显然很外行。
一个计算机专业本科生,都知道很多这类的低级错误不该犯。

【在 s****e 的大作中提到】
: salute, 阁下应该能搞掂所有丰田工程师。
s****e
发帖数: 638
149
没错啊,所以我认为您能搞定所有丰田工程师。

【在 n**s 的大作中提到】
: 作为一个有10年以上经验的码农,我只能说丰田工程师显然很外行。
: 一个计算机专业本科生,都知道很多这类的低级错误不该犯。

n**s
发帖数: 2230
150
呵呵,用不着我出马。就软件设计编码方面,随便一个本科生都能当他们的老师。

【在 s****e 的大作中提到】
: 没错啊,所以我认为您能搞定所有丰田工程师。
相关主题
zz 修完仍暴冲!丰田车主震惊投诉丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元
修完仍暴冲!丰田车主震惊投诉森林人卖的这么火爆?
丰田向美国加州车祸受害者亲属赔偿1000万美元说说 丰田自动加速暴冲、如何处理以及买车
进入Automobile版参与讨论
l****g
发帖数: 5080
151
没有仔细读文章,文章提到了,如果因为真空助力损失,刹车就没力量了。我有一次给
车装警报,真空助力的管子被安装的人碰掉了,还没出停车场,就感觉出来了,5mile
的速度都要使出全身力量来刹车,可以想见速度稍高那是一定无法刹车
的。

【在 a*****t 的大作中提到】
: 那是你刹车踩的不够深, 任何车的发动机动力都是比不过刹车的
l*****8
发帖数: 16949
152
你这个有点信口开河了。你以为丰田些软件的都是没学位的中学生?还随便哪个本科生
都能当他们的老师。
说实话,就是计算机博士,FLG里的很多码农,如果没有搞过专门汽车控制软件设计,
也未必能意识到这些问题。比如使用递归,从编程本身说没有什么问题,要不然大部分
高级程序设计语言也不会支持递归。很多函数式语言甚至完全取消迭代,只用递归。这
里的主要问题是整个系统的容错性做得太差。

【在 n**s 的大作中提到】
: 呵呵,用不着我出马。就软件设计编码方面,随便一个本科生都能当他们的老师。
a***e
发帖数: 27968
153
就算油门卡住了有override能出烂事?
按这个报告,NASA的结论都不靠谱,反复刹车还老踩油门上可能性很大么?
再说,反复踩油门正常的话应该能看到转速上下跑,而不是猛加速,对吧
对有人指出丰田质量问题为什么有人会自觉维护,真是奇了怪了

【在 A***o 的大作中提到】
: 雷克萨斯事故是因为dealer装错脚垫,其他所有事故都是踩错刹车,这是美国交通部的
: 权威结论。
: http://www.caranddriver.com/features/its-all-your-fault-the-dot

q*d
发帖数: 22178
154
再过一阵子,蓝翔技校的都可以秒杀丰田工程师了.
这个错误真的这么简单?这么容易的被发现?
如果这是真的,丰田该完蛋了.

【在 n**s 的大作中提到】
: 作为一个有10年以上经验的码农,我只能说丰田工程师显然很外行。
: 一个计算机专业本科生,都知道很多这类的低级错误不该犯。

l*******g
发帖数: 27064
155
丰田早就成宗教了和果子教一个意思

【在 a***e 的大作中提到】
: 就算油门卡住了有override能出烂事?
: 按这个报告,NASA的结论都不靠谱,反复刹车还老踩油门上可能性很大么?
: 再说,反复踩油门正常的话应该能看到转速上下跑,而不是猛加速,对吧
: 对有人指出丰田质量问题为什么有人会自觉维护,真是奇了怪了

T*U
发帖数: 22634
156
美国国家安全局还做出了伊拉克有大规模杀伤性武器的结论,原因是科威特打横井打到
伊拉克,被人家发现。

【在 A***o 的大作中提到】
: 雷克萨斯事故是因为dealer装错脚垫,其他所有事故都是踩错刹车,这是美国交通部的
: 权威结论。
: http://www.caranddriver.com/features/its-all-your-fault-the-dot

a***e
发帖数: 27968
157
watchdog是最后一道软件保护
一个bit反转,导致task-x宕了,气门开放
如果watchdog正常,短时间系统就重起了
task-x一旦恢复正常,自然会根据油门位置决定气门大小,而不是开放
实时系统的看门狗你老做过没?

Barr

【在 s****e 的大作中提到】
: 自带干粮再洗一把地。那里提到malfunction watch dog导致了事故?Barr的报告是分
: 析这个缺陷可能导致灾难。唯一的试验是bit反转,不也是跟原告描述的矛盾么。Barr
: 的报告对丰田形象不利,但对官司没什么根本帮助。当然报告损害丰田形象,丰田就止
: 损给3百万打发了。
:
: to

s****e
发帖数: 638
158
喊几句抗日口号很容易吧。不是自觉维护。看了标题以为真能确认问题了,但从工程师
角度不带感情色彩看这报告,感觉说服力不强。我要做陪审员不会认可,无论是哪国的
车都这个结论。

【在 a***e 的大作中提到】
: 就算油门卡住了有override能出烂事?
: 按这个报告,NASA的结论都不靠谱,反复刹车还老踩油门上可能性很大么?
: 再说,反复踩油门正常的话应该能看到转速上下跑,而不是猛加速,对吧
: 对有人指出丰田质量问题为什么有人会自觉维护,真是奇了怪了

a***e
发帖数: 27968
159
显然刹了但是刹不住吧
一个可能性是后轮刹住了(这个没动力,很容易刹)拖出来的
另外一个可能跟气门全开失去真空有关
不少人开车刹车的时候会pump the brake,就是反复踩
这个动作真空正常的时候没大问题
真空丢了之后前两下有助力后面就不行了,
这个是power brake工作原理决定的
你可以回家车停好,关发动机,然后踩刹车,一般3下就硬得踩不动了
再开发动机又马上恢复

【在 s****e 的大作中提到】
: 还有一点说不园啊,现场发现了刹车痕迹。 那到底是刹成没有啊?
s****e
发帖数: 638
160
Barr没有说因为watchdog的问题出事了吧。试验中bit flip后,不是一刹就停了么。
当然Toyota的工程师说你操作一下把bit flip一个瞧瞧。

【在 a***e 的大作中提到】
: watchdog是最后一道软件保护
: 一个bit反转,导致task-x宕了,气门开放
: 如果watchdog正常,短时间系统就重起了
: task-x一旦恢复正常,自然会根据油门位置决定气门大小,而不是开放
: 实时系统的看门狗你老做过没?
:
: Barr

相关主题
说说 丰田自动加速暴冲、如何处理以及买车关于丰田车自动加速问题直白的解释
丰田的防盗系统真垃圾我擦,谁把丰田工程师该枪毙那个帖子删了/
丰田因“杀人固件”被罚300万美元丰田都做了那些to fix 自动加速问题
进入Automobile版参与讨论
D***n
发帖数: 6804
161
用了1万1千个全局变量,一个函数1300行程序只能说明一个事实:
此程序老掉牙了,从95年代中期到现在就没怎么改过。
当年的程序质量评估标准和现代的不一样。但是丰田没有任何改进。

【在 q*d 的大作中提到】
: 再过一阵子,蓝翔技校的都可以秒杀丰田工程师了.
: 这个错误真的这么简单?这么容易的被发现?
: 如果这是真的,丰田该完蛋了.

s****e
发帖数: 638
162
后轮刹住了前轮在跑车会侧滑。有人说车的动力干不过刹车系统,我也不懂。 即使你
说的有可能,barr并没有重建,只是推测。包括爆冲试验也是推测。我即使认为有可能
,从证据角度出发并不充分。

【在 a***e 的大作中提到】
: 显然刹了但是刹不住吧
: 一个可能性是后轮刹住了(这个没动力,很容易刹)拖出来的
: 另外一个可能跟气门全开失去真空有关
: 不少人开车刹车的时候会pump the brake,就是反复踩
: 这个动作真空正常的时候没大问题
: 真空丢了之后前两下有助力后面就不行了,
: 这个是power brake工作原理决定的
: 你可以回家车停好,关发动机,然后踩刹车,一般3下就硬得踩不动了
: 再开发动机又马上恢复

a***e
发帖数: 27968
163
这跟抗日没关系,就是简单厂商和消费者的关系
有人指出某款车有明显不符合行业规范(10%)的行为,
没有经过认证的操作系统
低级错误的看门狗,不充分的纠错
一大堆对mission critical致命的错误
消费者态度难道不是鄙视,要求改正?
其他车要是证明也这样应该也是同样态度
一副大家一样烂,安啦不是很怪的心态么?
toyota作为市值第一,销量第一的公司
要求高点正常吧,尼玛Tesla出个bug死个高管而已,
camEry出个bug可是百万WSN在做小白鼠
话说回来,日本不少大公司软件能力还是很不靠谱的
经常是一个20年前的软件,因为原来写软件的都元老上级了
新来的根本不敢改进,大不敬死啦死啦的

【在 s****e 的大作中提到】
: 喊几句抗日口号很容易吧。不是自觉维护。看了标题以为真能确认问题了,但从工程师
: 角度不带感情色彩看这报告,感觉说服力不强。我要做陪审员不会认可,无论是哪国的
: 车都这个结论。

a***e
发帖数: 27968
164
反了,侧滑是后轮比前轮跑得狠造成的

【在 s****e 的大作中提到】
: 后轮刹住了前轮在跑车会侧滑。有人说车的动力干不过刹车系统,我也不懂。 即使你
: 说的有可能,barr并没有重建,只是推测。包括爆冲试验也是推测。我即使认为有可能
: ,从证据角度出发并不充分。

s****e
发帖数: 638
165
因为爆冲死了多少人了,有统计数据么?比自燃致死的比例呢。 我认为系统问题导致
的事故绝对有。少于一定比例基本都被忽视了。现状如此。不是每件事情都能搞清楚的
。 工程讲一定概率下的安全性,没有绝对可靠的系统。 Barr没看过其他汽车系统,你
我也没有。过分不过分都没发言权。违反这么多规范我倒是不觉的很奇怪,因为见过不
少。

【在 a***e 的大作中提到】
: 这跟抗日没关系,就是简单厂商和消费者的关系
: 有人指出某款车有明显不符合行业规范(10%)的行为,
: 没有经过认证的操作系统
: 低级错误的看门狗,不充分的纠错
: 一大堆对mission critical致命的错误
: 消费者态度难道不是鄙视,要求改正?
: 其他车要是证明也这样应该也是同样态度
: 一副大家一样烂,安啦不是很怪的心态么?
: toyota作为市值第一,销量第一的公司
: 要求高点正常吧,尼玛Tesla出个bug死个高管而已,

s****e
发帖数: 638
166
确定? 没动力的后轮怎么比前轮跑的狠呢。
http://baike.baidu.com/view/291932.htm

【在 a***e 的大作中提到】
: 反了,侧滑是后轮比前轮跑得狠造成的
a***e
发帖数: 27968
167
刹一下停下来被认为是那个刹车回声检测起作用造成的,
也就是那个要求完全松开再踩的东西,
这个东西,按照Barr,就是在Task-x死了之后才会起作用,
问题是这款车根本没有一个有效的看门狗,否则Task-x死掉马上就复位了
哪轮得到这个逻辑古怪的回声检测起作用?
你读帖不看上下文的?这款车压根没有检测task状态的看门狗,
倒是有一个看CPU load的狗,而且用硬中断喂
但是同年的prius看门狗正常
有趣的是,对于可能导致异常的堆栈溢出,这款车没有检测手段,
否则那个bit flip也直接导致重起了
倒是用通用系统的烤肉拉有检测,
从这点看,至少通用还比较靠谱

【在 s****e 的大作中提到】
: Barr没有说因为watchdog的问题出事了吧。试验中bit flip后,不是一刹就停了么。
: 当然Toyota的工程师说你操作一下把bit flip一个瞧瞧。

s****e
发帖数: 638
168
好累。我是说你说的都对也是推测。只能证明TOYOTA系统烂可能出问题,但作为证据不
够。

【在 a***e 的大作中提到】
: 刹一下停下来被认为是那个刹车回声检测起作用造成的,
: 也就是那个要求完全松开再踩的东西,
: 这个东西,按照Barr,就是在Task-x死了之后才会起作用,
: 问题是这款车根本没有一个有效的看门狗,否则Task-x死掉马上就复位了
: 哪轮得到这个逻辑古怪的回声检测起作用?
: 你读帖不看上下文的?这款车压根没有检测task状态的看门狗,
: 倒是有一个看CPU load的狗,而且用硬中断喂
: 但是同年的prius看门狗正常
: 有趣的是,对于可能导致异常的堆栈溢出,这款车没有检测手段,
: 否则那个bit flip也直接导致重起了

a***e
发帖数: 27968
169
刹车前轮刹住,后轮打滑就是经典情形,
这是为什么建议新轮装后面
有动力的前轮对车的作用力是朝前的,无动力后轮对车的作用力是朝后的
这对力的作用效果是把车沿运动方向拉直
如果前轮刹车力量向后,且比后轮力距大,就会出现甩尾侧滑

【在 s****e 的大作中提到】
: 确定? 没动力的后轮怎么比前轮跑的狠呢。
: http://baike.baidu.com/view/291932.htm

s****e
发帖数: 638
170
后轮没法转向,容易侧滑。所以新轮装后面。
你战斗力10,可以跟方肘子较量一下。我体力不支了,你再不倒下我就投降。

【在 a***e 的大作中提到】
: 刹车前轮刹住,后轮打滑就是经典情形,
: 这是为什么建议新轮装后面
: 有动力的前轮对车的作用力是朝前的,无动力后轮对车的作用力是朝后的
: 这对力的作用效果是把车沿运动方向拉直
: 如果前轮刹车力量向后,且比后轮力距大,就会出现甩尾侧滑

相关主题
丰田都做了那些to fix 自动加速问题丰田:2013版已经全部加刹车优先系统。。。
这次Michael Barr给全世界人民做了件好事自动加速不是大问题
丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?为修复软件故障,丰田召回超过总销量半数的普瑞斯
进入Automobile版参与讨论
a***e
发帖数: 27968
171
俺说的是看门狗都做烂了就太不靠谱了
多简单个东西,NND
要是有个可靠看门狗,系统写得再烂,
强行bit flip也不出气门大开的鸟事
做证据当然不足,不过陪审团不定怎么想
这种案子陪审团多数应该就够了

【在 s****e 的大作中提到】
: 好累。我是说你说的都对也是推测。只能证明TOYOTA系统烂可能出问题,但作为证据不
: 够。

a***e
发帖数: 27968
172
机电一体的软件设计还是很不一样的
实时系统和平时用的上网办公什么的差别还是很大的
从安猪系统看,FLG里面某些人对这个还是不灵

【在 l*****8 的大作中提到】
: 你这个有点信口开河了。你以为丰田些软件的都是没学位的中学生?还随便哪个本科生
: 都能当他们的老师。
: 说实话,就是计算机博士,FLG里的很多码农,如果没有搞过专门汽车控制软件设计,
: 也未必能意识到这些问题。比如使用递归,从编程本身说没有什么问题,要不然大部分
: 高级程序设计语言也不会支持递归。很多函数式语言甚至完全取消迭代,只用递归。这
: 里的主要问题是整个系统的容错性做得太差。

s****e
发帖数: 638
173
致命缺陷Toyota八成在改呢。但是300万能解决估计原告方感觉胜算不大。300万也就够
Barr团队律师开销吧。对于Toyota估计象家里进了贼的贪官,赶紧把这个结了。再搞下
去官司就算赢了丑事会沸沸扬扬。300万小意系了。

【在 a***e 的大作中提到】
: 俺说的是看门狗都做烂了就太不靠谱了
: 多简单个东西,NND
: 要是有个可靠看门狗,系统写得再烂,
: 强行bit flip也不出气门大开的鸟事
: 做证据当然不足,不过陪审团不定怎么想
: 这种案子陪审团多数应该就够了

a*******a
发帖数: 4233
174
有link么,油门刹车同时踩到底刹不住也太夸张了。。

【在 l*******g 的大作中提到】
: 这的看速度,速度太高,踩到底的过程因为产生过多热量,刹车力度会大减,很可能是
: 刹不住的
: 圣迭戈那个撞死的警察,刹车踩得轮子都着火了都没刹住

a*******a
发帖数: 4233
175
你这是刑事案件的思维。。
现在是民事

【在 s****e 的大作中提到】
: 平时给别人戴五毛,这次戴上五毛的帽子解释一下:)
: 下面这些缺陷指控对Toyota不利。但不足以让原告胜诉。胜诉的关键要证明这些缺陷直
: 接导致事故。可能性是无法定罪的。(脱下五毛帽子解释一下,我倾向于相信) 回头
: 看了下文章。Micheal Barr的报告是比较中肯的。Barr认为Toyota软件问题很多,所以
: more likely than not.很有可能,但可能无法证明。Barr的实验中人工输入错误可以
: 成功导致爆冲,但踩下刹车一秒后节气门关闭。如果爆冲发生了,驾驶者同时死死踩住
: 刹车,会导致持续加速。但这又与起诉方反复踩踏刹车的说法矛盾。Barr的证词对
: Toyota虽不利,但看起来Toyota两点质疑是关键的,导致原告胜诉的把握不大,否则不
: 会区区300万美元就达成和解。这中间光是Barr团队的劳务费和律师费就要一大半,原
: 告拿不到多少钱。对Toyota来说300万美元可能不及律师费的零头。当然,这个和解可

a****l
发帖数: 8211
176
你再去看看庭审报告,barr说的就是taskx有时候不能被重启,所以一旦有个bit flip
死掉后就彻底死了,然后你的油门控制就完蛋了,然后你就一直向前冲了。法庭的判决
很大程度上就是依赖这个结论,因为出现这种状况是不能接受的。

【在 s****e 的大作中提到】
: Barr没有说因为watchdog的问题出事了吧。试验中bit flip后,不是一刹就停了么。
: 当然Toyota的工程师说你操作一下把bit flip一个瞧瞧。

n**s
发帖数: 2230
177
一点都没有信口开河。不管是什么软件,开发都应该符合软件工程的基本原则。
学过软件工程的本科生都知道,应该完全不用或者尽可能少用全局变量。可丰田的用了
10000多个全局变量。这使得质量难以控制。
还有其他方面提到的,比如模块功能太复杂而内聚性低,应该再按层次进一步划分模块
功能来简化,这都是软件工程最基本原则。
以上说的是设计方面的不专业。
至于提到的其他方面,比如内存越界,堆栈溢出,根本就是错误了。如果有代码交叉评
估,这在很多软件公司是标准做法,根本就通不过的。

【在 l*****8 的大作中提到】
: 你这个有点信口开河了。你以为丰田些软件的都是没学位的中学生?还随便哪个本科生
: 都能当他们的老师。
: 说实话,就是计算机博士,FLG里的很多码农,如果没有搞过专门汽车控制软件设计,
: 也未必能意识到这些问题。比如使用递归,从编程本身说没有什么问题,要不然大部分
: 高级程序设计语言也不会支持递归。很多函数式语言甚至完全取消迭代,只用递归。这
: 里的主要问题是整个系统的容错性做得太差。

c******i
发帖数: 4091
178
最关键一点:丰田这里没有brake override system,定性为设计缺陷,是实实在在的
证据了。
h**z
发帖数: 9751
179
成本要省在看不见的地方
——丰田

【在 c******i 的大作中提到】
: 最关键一点:丰田这里没有brake override system,定性为设计缺陷,是实实在在的
: 证据了。

l*******g
发帖数: 27064
180
丰田节省成本可是方方面面
看得见的如车漆,如门框用焊接不用一体……

【在 h**z 的大作中提到】
: 成本要省在看不见的地方
: ——丰田

相关主题
EDN上对丰田杀手firmware的详细分析修完仍暴冲!丰田车主震惊投诉
汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?丰田向美国加州车祸受害者亲属赔偿1000万美元
zz 修完仍暴冲!丰田车主震惊投诉丰田向美国一加州刹车故障车祸受害者亲属赔偿1000万美元
进入Automobile版参与讨论
D***n
发帖数: 6804
181
很老的程序,90年代以前的,全局变量用的很多。原因是以前软件规模小,全局变量省
掉很多参数传递,很方便。
但是丰田显然没有做相应的改进,现在的程序有multi-threading等“现代”内容。用
全局变量的结果很容易出现race condition。
给我的感觉就是丰田软件测试手段比较落后。

【在 n**s 的大作中提到】
: 一点都没有信口开河。不管是什么软件,开发都应该符合软件工程的基本原则。
: 学过软件工程的本科生都知道,应该完全不用或者尽可能少用全局变量。可丰田的用了
: 10000多个全局变量。这使得质量难以控制。
: 还有其他方面提到的,比如模块功能太复杂而内聚性低,应该再按层次进一步划分模块
: 功能来简化,这都是软件工程最基本原则。
: 以上说的是设计方面的不专业。
: 至于提到的其他方面,比如内存越界,堆栈溢出,根本就是错误了。如果有代码交叉评
: 估,这在很多软件公司是标准做法,根本就通不过的。

j*********n
发帖数: 6034
182
这就提出了一个新问题。关于可靠性的问题。
大家的思路肯定是用的越久的东西越稳定,比如4at的变速箱。
这个思路在机械上面是成立的。
但是到了软件工程领域,或者整个系统工程领域,这个思路过时了。
以前设计的系统不需要那么多multi-threading,cpu弱爆了,没有那么多
分时燃烧计算啥的。现在的ecu比一台实实在在的计算机不差。这个时候
恐怕就不能沿用老代码去修补。需要新的思路重写。

【在 D***n 的大作中提到】
: 很老的程序,90年代以前的,全局变量用的很多。原因是以前软件规模小,全局变量省
: 掉很多参数传递,很方便。
: 但是丰田显然没有做相应的改进,现在的程序有multi-threading等“现代”内容。用
: 全局变量的结果很容易出现race condition。
: 给我的感觉就是丰田软件测试手段比较落后。

h**z
发帖数: 9751
183
重写得花钱,成本高
——丰田

【在 j*********n 的大作中提到】
: 这就提出了一个新问题。关于可靠性的问题。
: 大家的思路肯定是用的越久的东西越稳定,比如4at的变速箱。
: 这个思路在机械上面是成立的。
: 但是到了软件工程领域,或者整个系统工程领域,这个思路过时了。
: 以前设计的系统不需要那么多multi-threading,cpu弱爆了,没有那么多
: 分时燃烧计算啥的。现在的ecu比一台实实在在的计算机不差。这个时候
: 恐怕就不能沿用老代码去修补。需要新的思路重写。

H*******o
发帖数: 1637
184
都这了,哪些人还为丰田辩护?
买了丰田的,你说他的车不好,问题这么大,他不乐意,要证明他车很好。这其实很2
,这个时候丰田车主应该做的是把这事闹大,逼丰田召回或者采取其他行动来改善
还有就是卖丰田的,这么一搞他没钱赚了,当然要证明别家也一样烂
其他车主估计想的都是,幸亏没买丰田,以及自家车别出同样问题或者至少不要这么严
j*********n
发帖数: 6034
185
我觉得应该去示威,去丰田总部,要求丰田赔偿车主道歉。
可是丰田车主都不这么干,默认丰田被其他人黑了。

2

【在 H*******o 的大作中提到】
: 都这了,哪些人还为丰田辩护?
: 买了丰田的,你说他的车不好,问题这么大,他不乐意,要证明他车很好。这其实很2
: ,这个时候丰田车主应该做的是把这事闹大,逼丰田召回或者采取其他行动来改善
: 还有就是卖丰田的,这么一搞他没钱赚了,当然要证明别家也一样烂
: 其他车主估计想的都是,幸亏没买丰田,以及自家车别出同样问题或者至少不要这么严
: 重

D***n
发帖数: 6804
186
如果软件不增加新功能,当然时间长了把所有的漏洞都补上了,自然很稳定。我手上很
多古老的程序。也是一个函数几千行。但是工作的挺好。
问题在于随着计算能力的提高和功能的增多,软件在不停地升级,现在控制软件要负责
发动机,刹车,传感器,照明等等。那种修三年补三年的思路反而不好。
当然丰田永远是看不见的地方60分。这也是我最烦它的地方。奔驰这方面几乎是个反例
。销售奇烂,但是车里面的工艺确实做的不错。

【在 j*********n 的大作中提到】
: 这就提出了一个新问题。关于可靠性的问题。
: 大家的思路肯定是用的越久的东西越稳定,比如4at的变速箱。
: 这个思路在机械上面是成立的。
: 但是到了软件工程领域,或者整个系统工程领域,这个思路过时了。
: 以前设计的系统不需要那么多multi-threading,cpu弱爆了,没有那么多
: 分时燃烧计算啥的。现在的ecu比一台实实在在的计算机不差。这个时候
: 恐怕就不能沿用老代码去修补。需要新的思路重写。

c******i
发帖数: 4091
187
那几个都是靠奉旨吃屎挖坑挣伪币的,属于屎地粪坑工作组的。
你没看大手笔都不敢吭气儿?

2

【在 H*******o 的大作中提到】
: 都这了,哪些人还为丰田辩护?
: 买了丰田的,你说他的车不好,问题这么大,他不乐意,要证明他车很好。这其实很2
: ,这个时候丰田车主应该做的是把这事闹大,逼丰田召回或者采取其他行动来改善
: 还有就是卖丰田的,这么一搞他没钱赚了,当然要证明别家也一样烂
: 其他车主估计想的都是,幸亏没买丰田,以及自家车别出同样问题或者至少不要这么严
: 重

j*********n
发帖数: 6034
188
你。。。是逼菲利猫出大招了。
anyway,这个话题我不在讨论了,怕了。
干活去了。反正我不会买丰田,你门随意了。

【在 D***n 的大作中提到】
: 如果软件不增加新功能,当然时间长了把所有的漏洞都补上了,自然很稳定。我手上很
: 多古老的程序。也是一个函数几千行。但是工作的挺好。
: 问题在于随着计算能力的提高和功能的增多,软件在不停地升级,现在控制软件要负责
: 发动机,刹车,传感器,照明等等。那种修三年补三年的思路反而不好。
: 当然丰田永远是看不见的地方60分。这也是我最烦它的地方。奔驰这方面几乎是个反例
: 。销售奇烂,但是车里面的工艺确实做的不错。

j**i
发帖数: 184
189
这贴里边有拿工资发帖的吗 这越描越黑的事也干 真是服了帮丰田洗白的
l*******g
发帖数: 27064
190
dsb估计和费力猫一样正在补课,等等吧
有大杀器出现

【在 c******i 的大作中提到】
: 那几个都是靠奉旨吃屎挖坑挣伪币的,属于屎地粪坑工作组的。
: 你没看大手笔都不敢吭气儿?
:
: 2

相关主题
森林人卖的这么火爆?丰田的防盗系统真垃圾
说说 丰田自动加速暴冲、如何处理以及买车丰田因“杀人固件”被罚300万美元
说说 丰田自动加速暴冲、如何处理以及买车关于丰田车自动加速问题直白的解释
进入Automobile版参与讨论
l*****9
发帖数: 9501
191
讨厌丰田的坚决不买就行了
碰上自动加速只会刹车的死了活该
T*U
发帖数: 22634
192
当年写这些代码的都退休了,重写可以,思路已经没了。

【在 j*********n 的大作中提到】
: 这就提出了一个新问题。关于可靠性的问题。
: 大家的思路肯定是用的越久的东西越稳定,比如4at的变速箱。
: 这个思路在机械上面是成立的。
: 但是到了软件工程领域,或者整个系统工程领域,这个思路过时了。
: 以前设计的系统不需要那么多multi-threading,cpu弱爆了,没有那么多
: 分时燃烧计算啥的。现在的ecu比一台实实在在的计算机不差。这个时候
: 恐怕就不能沿用老代码去修补。需要新的思路重写。

H*******o
发帖数: 1637
193
我去,神逻辑啊
不会处理自动加速还成错了?
是不是以后考驾照加一门“自动加速的应急与处理”?

【在 l*****9 的大作中提到】
: 讨厌丰田的坚决不买就行了
: 碰上自动加速只会刹车的死了活该

s***p
发帖数: 355
194
本田这个公司太不要脸,出问题就知道遮掩不知道要最快速度补救,
看来就是想着每多拖一天就减少些补救的成本。

【在 j*********n 的大作中提到】
: 你。。。是逼菲利猫出大招了。
: anyway,这个话题我不在讨论了,怕了。
: 干活去了。反正我不会买丰田,你门随意了。

j*********n
发帖数: 6034
195
啊啊啊啊?

【在 s***p 的大作中提到】
: 本田这个公司太不要脸,出问题就知道遮掩不知道要最快速度补救,
: 看来就是想着每多拖一天就减少些补救的成本。

t**********3
发帖数: 12623
196
建议买丰田的送自动加速紧急操作办法培训

【在 l*****9 的大作中提到】
: 讨厌丰田的坚决不买就行了
: 碰上自动加速只会刹车的死了活该

l*******g
发帖数: 27064
197
没用的,从圣迭戈和国内那个scion的例子来看
一旦自动加速,基本上只能靠撞东西停下来,所有操作都无效

【在 t**********3 的大作中提到】
: 建议买丰田的送自动加速紧急操作办法培训
l*******g
发帖数: 27064
198
up
c*********r
发帖数: 1312
199
学习了!
c******i
发帖数: 4091
200
看见大傻婢正忙着贴五星红旗照片准备去后清大屎管领盒饭,同时还宣传加税就是好来
就是好。
驴婢五毛哈日,在大傻婢身上转基因成功了,呵呵

【在 l*******g 的大作中提到】
: dsb估计和费力猫一样正在补课,等等吧
: 有大杀器出现

相关主题
我擦,谁把丰田工程师该枪毙那个帖子删了/丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?
丰田都做了那些to fix 自动加速问题丰田:2013版已经全部加刹车优先系统。。。
这次Michael Barr给全世界人民做了件好事自动加速不是大问题
进入Automobile版参与讨论
l*********u
发帖数: 19053
201
up
c*******l
发帖数: 2083
202
有道理

【在 j*********n 的大作中提到】
: 这就提出了一个新问题。关于可靠性的问题。
: 大家的思路肯定是用的越久的东西越稳定,比如4at的变速箱。
: 这个思路在机械上面是成立的。
: 但是到了软件工程领域,或者整个系统工程领域,这个思路过时了。
: 以前设计的系统不需要那么多multi-threading,cpu弱爆了,没有那么多
: 分时燃烧计算啥的。现在的ecu比一台实实在在的计算机不差。这个时候
: 恐怕就不能沿用老代码去修补。需要新的思路重写。

d*******r
发帖数: 516
203
看一次顶一次 日托大军 其他的别废话了 来解释下如何用换机油省下来的钱修复固件
漏洞吧
l*********u
发帖数: 19053
204
re

【在 d*******r 的大作中提到】
: 看一次顶一次 日托大军 其他的别废话了 来解释下如何用换机油省下来的钱修复固件
: 漏洞吧

1 (共1页)
进入Automobile版参与讨论
相关主题
说说 丰田自动加速暴冲、如何处理以及买车丰田:2013版已经全部加刹车优先系统。。。
丰田的防盗系统真垃圾自动加速不是大问题
丰田因“杀人固件”被罚300万美元为修复软件故障,丰田召回超过总销量半数的普瑞斯
关于丰田车自动加速问题直白的解释EDN上对丰田杀手firmware的详细分析
我擦,谁把丰田工程师该枪毙那个帖子删了/汽车暴冲第一名不是丰田是福特,黑丰田挺美车的人咋解释?
丰田都做了那些to fix 自动加速问题zz 修完仍暴冲!丰田车主震惊投诉
这次Michael Barr给全世界人民做了件好事修完仍暴冲!丰田车主震惊投诉
丰田暴冲录像 - 门是开的,手刹未放,安全带没系。。。还能再弱智点吗?丰田向美国加州车祸受害者亲属赔偿1000万美元
相关话题的讨论汇总
话题: 丰田话题: barr话题: task话题: 系统话题: 刹车