kimleechn 发表于 2013-10-28 10:55

一直比较奇怪的是，在现在这种油门可以电子/程序控制的情况下，没有防止电子/程序系统出错时限制油门控制的措施，是啥道理

真的认为自己的电子/程序系统无懈可击，永远不会出错？

除非是拉线油门，其他电子油门系统，一定应该配合刹车优先

另外拉线油门系统，如果拉线被卡住了，是不是也没招了

兔子特饱 发表于 2013-10-28 08:40

貌似没有宇宙射线环境这类的因素? Barr说的这些完全是软件的问题.如果barr说的这些是真的,其实偷油不如软件这部分外包到微软印度去写,大不了每星期二有个自动的OS update,几个星期后全部的虫子就抓光了...

巨大防抖 发表于 2013-10-28 08:58

你真逗，你现在得出的结论，竟然是某id和我争执到现在的原因竟然只是双方对中文理解和使用的区别。好，那就让我梳理一下，看看我和某id和某id的辩护人你，到底在哪里有分歧：在6楼，我简单地梗概了一下原文，向不熟悉英文或者电脑的朋友简单解释：“意思就是一些美国的嵌入式专家检查和测试了丰田的控制系统源代码（似乎是2005年 凯美瑞L4-第四代？）之后，发现<b><font color=#000080>存在内存管理错误</font></b>，会导致某些关键性的变量对位失序。——这应该是此前沸沸扬扬的丰田车意外加速问题的原因。”看清了吗？我这里的关键词，是内存管理错误，换言之，因为在设计编程上对<b><font color=#000080>内存管理</font></b>的不周密，存在变量对位失序被意外修改可能，是造成问题的原因。从而对memory corruption作了一种大概的解释性的翻译。对这种翻译，你或许可以因为你现在抓住不放的我的解释性翻译“关键性的变量对位失序”，指责我的梗概性翻译费解，要求进一步解释，但是通常，人家读到前文“<b><font color=#000080>存在内存管理错误</font></b>”，大概也能理解什么意思，除了要来较真的朋友。对此，你所辩护的那个id，如此答复：“好像不是这意思吧？我草草看了下似乎是对于一些重要变量缺乏保护，导致单比特翻转错误就可以导致车子突然加速。这已经是故障安全范畴了。不是那种随便就能发现的逻辑错误。普通的软件工程师根本不会考虑这些问题。软差错本质上是无法完全避免的，宇宙射线击中DRAM的一个单元就可能让它翻转过来。所以这个在高可靠性应用中必须加以防护，硬件或者软件的，但是似乎偷油獭漏过了。很奇怪怎么会出这种问题，不是说鬼子的fail-safe很强的么？”一开始，上来就以貌似相当权威的口气，否定我的梗概翻译，“好像不是这个意思吧”，并把因硬件事件导致的单比特反转，说成是“重要变量缺乏保护”所导致的，几乎因果颠倒，我真不知道他是不懂英语呢，还是计算机软硬件设计知识肤浅，将内存管理理解成仅仅是防止内存操作的“逻辑”错误。说到这个逻辑错误，显然也是此人对我的回帖的误解，我回帖对原文的介绍，只有这一句“意思就是一些美国的嵌入式专家检查和测试了丰田的控制系统源代码（似乎是2005年 凯美瑞L4-第四代？）之后，发现<b><font color=#000080>存在内存管理错误</font></b>，会导致某些关键性的变量对位失序。——这应该是此前沸沸扬扬的丰田车意外加速问题的原因。”后面空调车内循环黄种人逻辑能力云云，都是我个人结合我自己驾驶凯美瑞的一些体验，所发的一些感慨，和原文内存管理并无直接关系，此人却似乎将两者混在一起说事了，我真不知道此人是不是读了原文，读懂了原文之后来否定我“好像不是这个意思吧”所以，我在33楼英汉对照，逐字翻译相关内容，证明我第6楼的大衣梗概，是有依据的，而不是信口开河：“〉〉〉〉〉〉----Barr说，由专家对 2005 Camry L4 源代码和车内测试确认，某些关键变量未被安全保护，从而避免被错误修改（也就是我的“内存管理错误，会导致某些关键性的变量对位失序”意思。关于corruption，是一个专用的软件属于，全称应该是memory corruption，定义，程序操作管理内存时对位失序，导致错误修改，请看链接：http://en.※※※※※※※※※.org/wiki/Memory_corruption），存在memory corruption源。----Barr said that the 2005 Camry L4 source code and in-vehicle tests by the experts confirmed that some critical variables are not protected from corruption, and sources of memory corruption are present. 〉〉〉〉〉〉〉〉他相信丰田的工程师试图保护大量的变量以免意外被软硬件因素所修改，但是他们未能成功映射一些关键变量，也没能对bit位翻转实施任何硬件保护。He believes that Toyota\'s engineers sought to protect numerous variables against software- and hardware-cause corruptions, but they failed to mirror several key critical variables, and they made no hardware protection available against bit flips.”后面在第37楼，他看了我的逐字翻译之后，似乎幡然悔悟，开始承认bitflip是硬件造成的了<img src=\"https://forum.xitek.com/static/image/smiley/xitek/hahaha.gif\" border=0>，但是，这次又将原文的焦点，内存管理不周密导致的内存失序（memory-corruption），转移到内存失序（memory-corruption）的一部分，single bitflip上，说是不可避免的（其实他也不想想自相矛盾：既然不可避免，还要做什么保护？弄什么fail-safe？），以原文标题的文学性夸张和双关为依据，误导了对原文的全面理解，也就是丰田在电子控制系统开发设计过程中，内存管理方面不周密，导致内存失序（memory-corruption）。不过这次，他倒是没有再坚持“不是这个意思吧”，而是承认：“我们谈的都只是一个很小的分歧”。<img src=\"https://forum.xitek.com/static/image/smiley/xitek/expr010.gif\" border=0>但是我并不认为我和他对原文理解的差异是一个小分歧，解释看我第56楼。这时候你介入了，并以一个“一个Linux内核开发, 驱动开发干了六七年的人”的身份，<img src=\"https://forum.xitek.com/static/image/smiley/xitek/hahaha.gif\" border=0>而不是对原文的引用阐释，支持那个id对原文的理解。后面的事情，你自己心里有数，我就不重复了。<b><font color=#000080>这里，我强调一下，我和那个id，关于原文的理解，虽然不像他否定性地指责我的那样，“不是这个意思吧”，但是还是有很大区别的。我认为原文的意思是说，丰田的问题在memory-corruption（内存失序）上，也就是电子控制系统开发设计上的内存管理不周密，而那个id却只是强调原文的重点在bit-flip上，大大削弱了丰田电子系统问题的范围。</font></b>原文就在那里，大家，特别是懂英语的朋友，可以比照着看。<b><font color=#000080>最后，关于race condition，你说我使用时序失序对此作解释性的概括是“祸害”，看来你对咬文嚼字要恋恋不舍了，我倒是想多问你一句：你知道什么叫synchronization吗？我想请你完全用不涉及时序概念的方式解释解释，这个synchronization或者race condition是什么意思</font></b><img src=\"https://forum.xitek.com/static/image/smiley/xitek/hahaha.gif\" border=0><i><font color=#666> 本帖最后由 巨大防抖 于 2013-10-28 09:13 编辑 </font></i>

强劲脚力 发表于 2013-10-28 09:59

是，没敢说它不复杂，只是说和手机那一套庞大的东西比起来要简单，再比手机简单这东西也依然很复杂。

会跳的蛋 发表于 2013-10-28 10:03

丰田说他们的汽车有两套ECU，指令不一致不会执行有些指令比如刹车具有最高优先级，Barr Group的报告好像没提到两套ECU的冗余性。而且从故障统计看丰田车突然加速问题又不比别的品牌特别多，这不科学。

看了下Barr Group的网站是搞嵌入式培训的，2012成立的公司，有人有兴趣报名吗？
http://www_barrgroup_com/home

孟姜女 发表于 2013-10-28 09:54

想知道丰田的fail-safe，程序不关心。

巨大防抖 发表于 2013-10-28 09:57

关于翻译，我想起了一件往事。
当年我毕业的时候，应聘某国有大型公司，意外的是竟然被当场录取，晚上还请我参与和外国合资方，也就是西门子公司的高层宴会，坐在领导身边。
当时，席上端上来了当时的时髦菜，一盘蹄筋炒什么，西门子的项目首席工程师问这个是什么，当时在场有德语翻译，有外方※※，但是一时没有人能想起英语或者德语的蹄筋怎么说，于是一桌子僵在那里。

这时候我僭越了一下，轻声对那个德国首席工程师说：something connects bones，于是整桌都哈哈大笑，可是我却留心到那个官方男翻译冷冷地仇视地看着我的目光。当时刚出校门，比较嫩，那种阴冷的目光吓得我不轻，最后没去那个领导身边报到，现在想起来，挺对不起那个老先生的

小于 发表于 2013-10-28 02:19

应该是变量运算溢出导致。这个在嵌入式系统是常见的。看来丰田的流程有很大漏洞。

兔子特饱 发表于 2013-10-28 08:40

貌似没有宇宙射线环境这类的因素? Barr说的这些完全是软件的问题.如果barr说的这些是真的,其实偷油不如软件这部分外包到微软印度去写,大不了每星期二有个自动的OS update,几个星期后全部的虫子就抓光了...

Tell me  generally what spaghetti code means in your industry?

A. Well, in a nutshell it means that the code is very difficult to read and maintain.  You heard Mr. Ishii say that NASA had trouble reading Toyota's source code.  That wasn't to do with them not following NISRA, it's because it was badly written and badly structured source code. And that's spaghetti.  Code spaghetti code is -- I picked this picture of a very complicated electrical wiring intersection because I think it aptly demonstrates what spaghetti code is like.