Encore un exemple de code spaghetti : Toyota

Posté par (page perso) . Édité par ZeroHeure, palm123, Benoît Sibaud, Nicolas Casanova et BAud. Modéré par tuiu pol. Licence CC by-sa
Tags :
53
6
mar.
2014
C et C++

Après plusieurs journaux récents concernant des histoires de mauvaises pratiques de code dans des logiciels de sécurité (goto fail pour Apple et goto cleanup pour GnuTLS, divers patchs monolignes erronés), nous avons maintenant une histoire où de mauvaises pratiques de code dans de l'embarqué ont entraîné un accident grave.

Toyota a mis en vente en 2005 sur le marché son modèle Camry, dont le moteur est contrôlé par de l'électronique et du logiciel. Par exemple la pression sur la pédale de frein est détectée par un capteur que le système doit analyser pour commander le freinage.

Un jour lors d'un freinage périlleux le freinage électronique a échoué à freiner efficacement, entraînant un accident qui a coûté la vie à la conductrice et blessé gravement son amie.

Dans un procès fait à Toyota, deux experts en embarqué ont donné leur avis sur le code source que Toyota avait utilisé dans sa voiture. C'était du code très sale, comme vous pouvez le voir dans la suite de cette dépêche.

NdM : merci à Zarmakuizz pour son journal.

Sommaire

Goto ?

Plusieurs journaux récents dénonçaient de mauvaises pratiques de code, en tapant à tort ou à raison sur l'utilisation du goto en C. Voir par exemple ce journal sur une faille chez Apple ou celui sur un patch de GnuTLS.

L'affaire Toyota

Voici maintenant une affaire où les freins d'une Toyota ont refusé de fonctionner à cause d'un code spaghetti.

Résumé

L'article en anglais est très long, ça date du 13 novembre 2013, je vais tenter un résumé :

Jean Bookout et Barbara Schwarz avaient une Toyota Camry de 2005. Le système de freinage est contrôlé par l'électronique du système. Mais voilà qu'un jour Jean Bookout perd le contrôle de sa voiture, la pédale de frein n'a aucun effet sur la vitesse de la voiture. Qu'à cela ne tienne, elle utilise donc le frein à main, ce qui fait une grosse marque de dérapage sur la route mais la vitesse du véhicule ne diminue pas, eeeeeeeet c'est le crash. Barbara Schwarz meurt des blessures, Jean Bookout se retrouve à l'hôpital pendant 5 mois.

Procès

Suite logique, procès à Toyota. Bon, on est aux États-Unis, on ne sait pas si c'est uniquement sur les raisons techniques évoquées plus loin ou aussi par patriotisme que les jurés ont déclaré Toyota coupable dans l'affaire, mais passons ce détail pour nous concentrer sur la suite.

 Mais comment les freins ont pu ne plus être efficaces ?

Deux experts ont été désignés par l'accusation pour analyser le code source de Toyota et juger par eux-mêmes d'où pouvait provenir la défaillance. Michael Barr est resté 20 mois dans une salle semblable à une chambre d'hôtel, avec des gardes pour s'assurer qu'aucun document ne rentre ou ne sorte de sa salle pendant tout le temps de son analyse. Phillip Koopman est plutôt à l'aise dans le domaine de l'embarqué.

On peut résumer le reste de l'article en « c'est un gros code spaghetti impossible à maintenir, impossible à prédire, impossible à tester, des corruptions de mémoire arrivent trop facilement, etc. » Mais il y a quand même quelques perles :

There are a large number of functions that are overly complex. By the standard industry metrics some of them are untestable, meaning that it is so complicated a recipe that there is no way to develop a reliable test suite or test methodology to test all the possible things that can happen in it. Some of them are even so complex that they are what is called unmaintainable, which means that if you go in to fix a bug or to make a change, you’re likely to create a new bug in the process. Just because your car has the latest version of the firmware — that is what we call embedded software — doesn’t mean it is safer necessarily than the older one….And that conclusion is that the failsafes are inadequate. The failsafes that they have contain defects or gaps. But on the whole, the safety architecture is a house of cards. It is possible for a large percentage of the failsafes to be disabled at the same time that the throttle control is lost.

Even a Toyota programmer described the engine control application as “spaghetti-like” in an October 2007 document Barr read into his testimony.

Ce qui donnerait en bon françois :

Il y a un grand nombre de fonctions beaucoup trop compliquées. D'après les métriques standards de l'industrie, certaines fonctions sont impossibles à tester, signifiant que leur fonctionnement est tellement compliqué qu'il n'est pas possible de développer une suite de tests fiable ou d'avoir une méthodologie de test pour vérifier tout ce qui se passe à l'intérieur. Certaines sont tellement compliquées qu'on peut les qualifier d'impossibles à maintenir, ce qui veut dire que si vous rentrez dedans pour corriger un bug ou faire un changement, vous êtes assuré de créer un nouveau bug au passage. Ce n'est pas parce que votre voiture a la dernière version d'un _firmware_ (c'est ce qu'on appelle du logiciel embarqué) que c'est nécessairement plus fiable que le _firmware_ plus ancien… Et la conclusion de cela est que les sécurités [employées] sont inappropriées. Les sécurités employées ici contiennent des défauts ou des lacunes. Mais dans l'ensemble, l'architecture de sécurité est un château de cartes. Il est possible d'avoir une majeure partie des sécurités désactivées au moment où le contrôle de l'accélération est perdu.
Même un programmeur de chez Toyota a décrit l'application de contrôle du moteur comme  « du code spaghetti » dans un document d'octobre 2007 que Barr a cité dans son témoignage.

Violation des règles de programmation

La suite de l'article parle de règles de bonne pratique définies par le MISRA pour le développement en C dans l'automobile. Phillip Koopman dit que pour chaque pack de 30 violations de ces règles, on peut s'attendre à 3 bugs mineurs et 1 bug critique en moyenne. Michael Barr a analysé le code en suivant l'édition 2004 de la MISRA (rappel, la voiture date de 2005) et a trouvé… 81 514 violations. D'après les statistiques moyennes, on devrait donc s'attendre à environs 2720 bugs majeurs. Les programmeurs de Toyota ont défini leurs propres règles de bonne conduite et n'ont pas réussi à les respecter. Il y avait aussi plus de 10 000 variables globales, alors que les standards dans les développements de l'automobile réclament le 0 absolu. Le programme superviseur censé détecter si les tâches du moteur tournent toujours était incapable de détecter quoi que ce soit car il se contentait de monitorer le CPU, ce qu'il n'arrivait même pas à faire ! Les codes d'erreurs renvoyés par les tâches étaient complètement ignorés, aucune traçabilité n'était possible.

Code revu par la Nasa

La NASA était censée passer le code en revue, sauf qu'apparemment le code qu'on leur a donné n'était pas le code applicatif final, et des délais trop courts ont empêché les ingénieurs de la NASA de faire leur travail d'inspection. Des mails de Toyota relatent qu'ils ont mis en place des sécurités contre les erreurs de Bit flipping alors que Michael Barr n'a vu absolument aucun contrôle de ce côté-là. La NTHSA, l'entité ayant autorisé la mise sur le marché de la Toyota Camry, n'avait donc pas les informations nécessaires pour savoir que la partie informatique du véhicule était complètement foireuse.

Éclairante démonstration

Michael Barr a dû expliquer à un jury non compétent pourquoi tout ce qu'il a trouvé est un problème, ce qui fait donc d'excellentes ressources pour les étudiants et autres curieux :

[Barr's slides are] long, but well worth a read for anyone interested in understanding more about embedded software systems in automobiles and how not to design one; where NHTSA went wrong: and the unbelievably shaky software at the foundation of Toyota’s electronic architecture.

Soit en français :

[Les diapos de Barr sont] longues, mais méritent la lecture pour quiconque est intéressé pour en savoir plus sur les systèmes embarqués en automobile et comment il ne faut pas en concevoir, où est-ce que la NTHSA a eu tort, et le logiciel incroyablement fragile aux fondations de l'architecture électronique de Toyota.

L'article conclut sur le fait que Toyota n'aurait donc pas voulu que l'on voit son code source, non pas pour garder secret ses algorithmes, mais plutôt pour cacher le fait que c'est un merdier total.

  • # Quelle est l'utilité de faire un « gros » programme pour freiner ?

    Posté par (page perso) . Évalué à 10.

    Le freinage, c'est pas un truc en rapport avec la sécurité ?

    L'avenir c'est un système de freinage qui mettra en plein écran sur le HID « êtes-vous sûr de vouloir freiner ? ». Il faudra faire défiler les conditions générales jusqu'en bas de la fenêtre puis cliquer sur « OK ». Il faudra aussi prendre soin de décocher la petite case « faire de amazon.com ma page par défaut ».

    • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

      Posté par (page perso) . Évalué à 10.

      Déjà, il faut coordonner l'ABS sur les quatre roues pour qu'il permette de garder un contrôle optimal du véhicule, surtout s'il est en train de tourner. En plus, maintenant, on ajoute une assistance au freinage en plus de l'ABS qui va augmenter la pression sur le frein quand on freine rapidement parce qu'on s'est rendu compte que les gens n'appuient pas assez sur le frein en cas d'urgence, il faut donc le détecter et l'appliquer. Ensuite, il y a aussi les systèmes qui utilisent les ultrasons pour détecter une collision et freiner à temps, ça inclut aussi du code, mais je ne sais pas si ces derniers sont inclus dans ce modèle de Toyota.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

      Posté par . Évalué à 2. Dernière modification le 07/03/14 à 09:22.

      en Europe et aux USA, la législation oblige un lien physique entre entre la pédale de frein/étriers et volant/direction.
      aucun bug logiciel ne peut empêcher la voiture de freiner
      Le HID « êtes-vous sûr de vouloir freiner ? » c'est pas pour aujourd'hui :-D

      • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

        Posté par (page perso) . Évalué à -1.

        en Europe et aux USA, la législation oblige un lien physique entre entre la pédale de frein/étriers
        

        Pourtant sur ma Clio 3, une pression sur la pédale de frein lorsque le contact est coupé n'active pas les étriers.

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 5.

          lorsque le moteur est coupé, tu ne dispose plus de l'assistance au freinage, la sensation sur la pédale peut être différente et il faut appuyer plus fort pour arrêter la voiture, mais elle freine dans tout les cas
          j'ai aussi une clio 3 et la mienne freine bien même moteur coupé
          si c'est pas le cas sur la tienne, faut faire un tour chez le garagiste pour réparer çà…

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 3.

          Il faut pomper sur la pédale de freins, mais attention cela peut finir par freiner fort.

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 4.

          Pourtant sur ma Clio 3, une pression sur la pédale de frein lorsque le contact est coupé n'active pas les étriers.

          N'importe quoi. Sur la plupart des voitures (dont la clio 3) le freinage est assisté par un servofrein qui est un système pneumatique :

          • Quand le moteur est allumé, le freinage est assisté
          • Quand tu as coupé le moteur et tant que tu n'as pas beaucoup freiné, le système est encore en dépression, et le freinage est assisté.
          • Après, le freinage n'est plus assisté mais ça freine quand même en appuyant suffisamment fort.

          Si ce que tu disais était vrai, les gens auraient systématiquement un accident quand le moteur tombe en panne en roulant.

          • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

            Posté par . Évalué à 4.

            C'est d'ailleurs assez facile et amusant à constater au démarrage. En gardant le pied appuyé sur la pédale de frein, on la sent qui s'enfonce doucement après avoir appuyé sur le bouton de démarrage.

            D'ailleurs, quand je démarre en pente avec le pied sur le frein après avoir débloqué le frein à main, la voiture bouge, parce que l'assistance n'est pas encore efficace et je ne suis plus habitué à appuyer comme un âne.

            Pour ceux qui doutent de l'effet de l'habitude sur la force qu'on imprime à la pédale, essayez de changer de pied (pied droit sur embrayage, ou mieux, pied gauche sur le frein), c'est surprenant. Évitez de le faire avec une voiture juste derrière…

            Sur le fond, le fait que ça marche moteur éteint sans assistance ne signifie pas qu'une assistance défaillante qui viserait à minimiser le freinage (typiquement un ABS) ne pourrait pas empêcher de freiner, je suppose. En tout cas c'est plus compliqué que ça.

            • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

              Posté par . Évalué à -6.

              à l'époque ou j'ai passé le permis (1990), les voitures étaient beaucoup moins "électronifiées" qu'aujourd'hui. Et vous savez quoi? elle fonctionnaient quand même…
              La grande majorité des pannes électroniques sur une voiture sont dûes aux vibrations, car je pense ne l'apprendre à personne ici, l'électronique n'aime pas les vibrations. Moralité, de l'électronique dans une voiture c'est un peu comme une issue de secours dans un avion, c'est beau mais au final pas très utile. Quand aux gens qui n'appuient pas assez fort sur la pédale de frein, et bien tant pis, crac boum. C'est en faisant des erreurs que l'on peut en tirer les leçons, ce qu'il faudrait peut-être revoir, c'est la façon dont les auto-école enseignent le freinage (exactement à l'inverse de ce qu'il faudrait). Faites donc un tour sur circuit avec les conseils d'un pilote, et en une demi-journée, votre distance de freinage aura diminué de moitier, sans que ce pilote n'ajoute de zinzin qui clignote sur le circuit de freinage.
              S'il n'y en a pas en compétition, il y a sûrement une raison, la fiabilité peut-être ?
              Freinage assisté, freinage d'urgence assisté, stationnement automatique, avertisseur de franchissement de ligne blanche… tant qu'a laisser le contrôle de son véhicule à autrui, autant prendre un taxi, comme ça en plus, on peut être bourré.

              • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                Posté par (page perso) . Évalué à 6.

                J'aime bien que ma voiture fonctionne parfaitement dans n'importe quelle condition météorologique.

                J'aime aussi qu'elle ai un meilleur rendement, qu'elle consomme moins d'essence et qu'elle pollue moins.

                J'apprécie aussi qu'elle puisse rattraper une erreur de conduite, comme une accélération un peu brutale sur une route humide en sortie de virage. Ou encore qu'elle me permette d'éviter un obstacle lors d'un freinage d'urgence sans devoir relâcher les freins pour retrouver de l'adhérence.

                Bref, une voiture à carburateur sans électronique bof bof. Puis de toutes façons elle ne pourrait pas respecter les normes européennes actuelles.

                Sinon les sorties de secours dans les avions sont très très importantes. La plupart des accidents se font lors du roulage dans les aéroports et il vaut mieux évacuer vite fait bien fait en cas de problème. Avoir tout les passagers qui meurent dans un incendie à 20 mètres du terminal, c'est pas terrible.

                Pour l'auto-école et le freinage je partage ton analyse. Lors du permis moto on apprends à freiner correctement. Quand j'ai passé le permis voiture j'ai été étonné de ne pas apprendre à freiner. Maintenant je ne pense pas qu'apprendre aux gens comment réduire de moitié les distances de freinage soit une bonne idée.

                En course, il faut freiner le plus fort au début quand on a de l'adhérence grâce au transfert des masses et à la vitesse puis relâcher la pression pour pas bloquer les roues quand l'adhérence diminue. En conduite normale on préfère quelque chose de fluide et donc freiner de plus en plus fort.

                Je préfère la conduite fluide personnellement.

              • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                Posté par . Évalué à 6.

                S'il n'y en a pas en compétition, il y a sûrement une raison, la fiabilité peut-être ?

                Il n'y a pas d'assistance au freinage car les véhicules de compétition sont plus légers et ont de plus gros freins (c'est aussi le cas des voitures de route légères : Lotus Elise, Alfa 4C…).

                Il n'y a pas d'ABS ou d'autre technologies de ce type en compétition car c'est interdit vu que ça remplace la compétence du pilote par un système automatique. Par exemple toutes les Formule 1 avaient l'ABS avant son interdiction.

                Accessoirement, le servo-frein a été inventé dans les années 20.

              • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                Posté par (page perso) . Évalué à 10. Dernière modification le 07/03/14 à 14:21.

                S'il n'y en a pas en compétition, il y a sûrement une raison, la fiabilité peut-être ?

                Tu déconnes une voiture de compétition a bien plus d'électronique qu'une voiture de série mais souvent pour faire des choses différentes. Une Formule 1 est typiquement très complexe et paramétrable et l'électronique a été une grande avancée dans la course des performances.
                Puis tu oublies que les pilotes automobiles sont aussi de véritable athlètes, capable de supporter des freinages jusqu'à 5G (dis toi que 1G c'est à peu près la décélération quand tu piles à fond avec ta voiture de série). Ils peuvent donc exercer et supporter des choses qu'en automobile de série est inimaginable car les gens seraient physiquement inaptes.

                Mais une voiture de course a des impératifs différents, typiquement une Formule 1 le moteur doit être allumé par un dispositif externe à la voiture pour économiser du poids (car ça ne sert qu'au départ), l'embrayage ne peut supporter que quelques départs car ça ne sert à rien de mettre du poids pour un truc inutile durant la course. Les pneumatiques ne durent que quelques dizaines-centaines de kilomètres pour des raisons de performance. Il n'y a pas de marche arrière également…
                Bref, comme les besoins sont différents, l'absence de dispositifs chez eux ne signifie pas qu'ils sont inutiles.

                Puis en plus tu as la réglementation qui empêche trop l'électronique (anti-patinage interdit, cartographie moteur assez fixe sur la course, suspensions actives également, les éléments mobiles modifiable par l'électronique, etc.). Dès 1994, une Formule 1 avait des suspensions qui pouvaient reproduire dans le vide les passages dans les courbes et des bosses par les suspensions actives qui permet un grand confort et de meilleure performance mais tu enlèves dans ce cas tout un grand travail du pilote et l'intérêt d'une course automobile (le pilote doit être un acteur important, il ne doit pas être un passager de sa voiture piloté depuis les stands via les ingénieurs).

                D'ailleurs par exemple les ailerons ne sont plus autorisés à être mobile car il y a la possibilité dans ce cas, comme pour la suspension active, de reproduire des configurations pour chaque piste et prendre des virages limite à fond en permanence grâce au freinage aérodynamique uniquement.

                Donc t'inquiète pas, l'électronique est partout en compétition automobile mais souvent limité par la réglementation ou l'absence de besoins pour ce type de voitures…

                • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                  Posté par . Évalué à 1.

                  Il n'y a pas de marche arrière également

                  La marche arrière est obligatoire sur les F1.

                  Dès 1994, une Formule 1 avait des suspensions qui pouvaient reproduire dans le vide les passages dans les courbes et des bosses par les suspensions actives

                  C'était avant 1994. En 1994 sont interdits : les systèmes de suspensions actives, antipatinage, antiblocage, assistance à la direction, boîtes de vitesses automatiques à passage programmé, et accélérateur électronique (fly-by-wire).
                  L'antipatinage fut de nouveau autorisé entre 2001 et 2007.

                  • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                    Posté par (page perso) . Évalué à 2.

                    La marche arrière est obligatoire sur les F1.

                    J'étais persuadé que non. Pourtant il y a de nombreux cas où ce n'était pas utilisé malgré les circonstances et une voiture fonctionnelle.

                    Pour le reste oui ça datait d'avant 1994 qui a été un tournant pour la présence d'électronique en F1, mais si ça avait été autorisé ils seraient allés bien plus loin dans ces techniques qui étaient assez balbutiantes (et quelques constructeurs seulement arrivaient à tenir le rythme d'évolution…).

                    • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                      Posté par . Évalué à 3.

                      /me met sa plus belle casquette rouge et blanche.

                      Je confirme absolument la presence d'une marche arriere obligatoire. Il est cependant fortement recommande de ne pas s'en servir. Elle est souvent la uniquement pour passer le test et valider sa presence. Le test se fait avec les roues dans le vide, donc on ne concoit pas la mécanique pour etre capable d'accepter beaucoup plus de charge que ca sans casser.

                      Sauf une équipe (dont je tairai le nom ; mais ils vendent des boissons énergisantes), qui lors d'un changement de fournisseur moteur, a decouvert au premier test moteur/boite que le moteur ne tournait pas dans le sens prevu. C'etait la seule F1 avec une marche avant et 7 vitesses de marche arriere…

              • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                Posté par . Évalué à 10.

                à l'époque ou j'ai passé le permis (1990), les voitures étaient beaucoup moins "électronifiées" qu'aujourd'hui. Et vous savez quoi? elle fonctionnaient quand même…

                Oui, mais elles étaient moins sécuritaires. Et moins confortables aussi.

                Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                  Posté par . Évalué à 4.

                  Et plus polluantes. Et moins sobres. Et elles avaient un taux de grosse panne plus élevé, du fait d'absence de signalisation des problèmes au conducteur (j'ai achevé une caisse de 14 ans il n'y a pas longtemps parce que le ventilateur avait claqué, que le moteur a chauffé, et que le joint de culasse a lâché, tout ça sans un allumage de loupiote).

              • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

                Posté par (page perso) . Évalué à 1.

                S'il n'y en a pas en compétition, il y a sûrement une raison, la fiabilité peut-être ?

                C'est peut-être surtout qu'en compétition le but c'est d'avoir notamment de la compétition entre humains (dans les couses automobiles c'est pas que ça vu que la voiture joue aussi beaucoup, certes) et du coup c'est plus intéressant que les pilotes aient à gérer eux-même leurs freinages et accélérations que d'avoir un logiciel qui le fait de façon optimisé ?

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 4.

          Alors ta Clio a un défaut. Va vite voir ton garagiste. Enfin, pas trop vite quand même du coup:-)

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 1.

          En fait, le problème du frein, c'est que les assistances au freinage sont très efficaces de nos jours, un appui léger permet de freiner assez fort. Sans cette assistance, il faut vraiment appuyer très fort. J'ai eu la même sensation que toi sur une C3 avec moteur coupé, j'ai du vraiment appuyer fort sur le frein pour arrêter la voiture. D'ailleurs, je trouve que cette assistance est assez dangereuse (frein comme direction) parce qu'elle est tellement efficace que l'on a plus du toute la même sensation. Et encore, je suis un vieux conducteur et j'ai déjà conduit des voitures avec peu d'assistance, mais je n'imagine même pas un jeune conducteur qui se retrouverait d'un coup dans assistance de freinage ou de direction.

          de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

          • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

            Posté par (page perso) . Évalué à 2.

            Oui mais ça permet de sauver des vies car tu n'as plus besoin de te muscler les jambes pour freiner ta voiture même pour piler.

            Ça arrive souvent que la voiture n'ait plus ces assistances ? Est-ce que c'est plus élevé que le nombre d'accidents évités ou plus légers grâce à cette technologie ?

            Les morts actuels sont de mémoire dus à l'être humain qui s'est mal comporté (alcool, drogue, endormi, trop rapide) que par une défaillance mécanique qui est en dessous de 5% des cas. C'est en France donc un peu plus de 150 personnes par an ce qui est je pense bien plus acceptable que la quantité observée par le passé en l'absence d'assistance.

            • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

              Posté par . Évalué à 1.

              Je n'ai pas dit que ça ne servait pas ou qu'il fallait les enlever mais est-ce nécessaire par exemple de pouvoir tourner le volant avec son petit doigt sans effort ?

              de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité

      • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

        Posté par . Évalué à 2.

        Effectivement.
        D'ailleurs c'est pour ça qu'il n'y a jamais eu de mort… attends… de quoi parle cet article, au fait?

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 4.

          cet article est très trompeur, j'ai lu entièrement la Retranscription du témoignage de Michael Barr et les diapos. à aucun moment on ne parle des causes de l'accident dont il est question.
          les partie plaignante a fait appel à cet expert pour mettre en évidence le manque sérieux dans le développement du logiciel de contrôle du moteur (ce qu'il a très bien fait).
          ça ne remet pas en cause le principe de lien physique entre la pédale de frein et les étriers qui fait que même si le moteur continue de fonctionner à pleine puissance, la voiture doit freiner 2 fois plus fort.
          On a aucun élément sur les causes de l'accident, ce n'est pas réellement le travail de cet expert.
          puisque Toyota a été condamné, je pense que la partie plaignante a réussi a prouver un défaut mécanique sur la voiture.

      • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

        Posté par (page perso) . Évalué à -5.

        en Europe et aux USA, la législation oblige un lien physique entre entre la pédale de frein/étriers et volant/direction.

        A part les voitures de 199x, il y a bien longtemps que je n'ai pas vu de liaisons physique entre le volant et l'arbre de direction des roues … les seules liaisons sont Electronique voir pneumatiques … faut choisir volant que tu peux tourner à 2 doigts ou sensation de devoir manœuvrer 1200 Kg lorsque tu te gares.

        • [^] # Commentaire supprimé

          Posté par . Évalué à 2. Dernière modification le 07/03/14 à 14:23.

          Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

          Posté par . Évalué à 10.

          non non et non!

          il y a bien longtemps que je n'ai pas vu de liaisons physique entre le volant et l'arbre de direction des roues… les seules liaisons sont Electronique voir pneumatiques

          aucune voiture sans lien physique entre la pédale/étriers et le volant/direction n'a jamais été homologuée en France. Et le freinage n'est pas pneumatique mais hydraulique et c'est considéré comme un lien physique.

          faut choisir volant que tu peux tourner à 2 doigts ou sensation de devoir manœuvrer 1200 Kg lorsque tu te gares.

          la direction assistée comme son nom l'indique, assiste la direction: si elle ne fonctionne plus la direction "physique" continu de fonctionner, il faut juste tourner plus le volant comme sur les veilles voitures.
          je suis tombé en panne de batterie en roulant sur l'autoroute, j'ai perdu la direction assistée et peut-être l'abs mais la voiture tournait toujours. on appelle ça une situation de repli.

          c'est un peu abusé d'être aussi affirmatif pour dire des choses aussi fausses.
          franchement parler de voitures avec des informaticiens c'est un peu comme parler d'informatique avec des garagistes, c'est un peu flou… :-D

          • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

            Posté par . Évalué à 0.

            je suis tombé en panne de batterie en roulant sur l'autoroute, j'ai perdu la direction assistée

            Ah bon ? Perdue, elle est tombée sur la route ? :D
            Ainsi, l'alternateur ne sortait pas assez de jus pour une pov chtite assistance électrique ?
            Parce que si hydraulique, c'est une pompe entraînée par une courroie et le moteur…

            franchement parler de voitures avec des informaticiens c'est un peu comme parler d'informatique avec des garagistes, c'est un peu flou… :-D

            C'est bien ce que je me dis par ici. Informaticien ? ;)

            • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

              Posté par . Évalué à 2.

              Parce que si [direction assistée] hydraulique, c'est une pompe entraînée par une courroie et le moteur…

              Il existe deux types de direction assistée hydraulique, celle que vous décrivez (la plus ancienne) dite «à commande mécanique» et celle «à commande électrique» (ou électro-hydraulique) où la pression hydraulique est obtenue par une pompe électrique qui a comme principaux avantages de permettre à la direction assistée de fonctionner même lorsque le moteur est coupé et de ne rien consommer lorsque la direction n'est pas sollicitée.

            • [^] # Re: Quelle est l'utilité de faire un « gros » programme pour freiner ?

              Posté par . Évalué à 0.

              Ainsi, l'alternateur ne sortait pas assez de jus pour une pov chtite assistance électrique ?

              quand je dis que je suis tomber en panne de batterie, je veux dire que le voyant rouge de la batterie est apparu, la panne exacte vient de l’alternateur lui même: la poulie de l'alternateur s'est cassée en 2 (il parait d'après le garagiste que c'est une panne fréquente, la poulie de l'alternateur est volontairement "fragile" pour servir de fusible pour que le reste du moteur)

              je confirme, j'ai bien perdu la direction assistée (c'est facile à voir, il faut tourner le volant beaucoup plus)
              pour l'ABS je sais pas, j'ai pas fait de freinage d’urgence

              c'est rassurant de se dire que ce genre de cas est bien géré… j'ai même pu rouler jusqu'à l'aire d'autoroute qui était juste à côté

              franchement parler de voitures avec des informaticiens c'est un peu comme parler d'informatique avec des garagistes, c'est un peu flou… :-D

              C'est bien ce que je me dis par ici. Informaticien ? ;)

              bien deviné! toi aussi c'est sûr :-D

  • # tiens

    Posté par . Évalué à 1.

    Dépêche intéressante ainsi que les commentaires du journal mais

    Bon, on est aux États-Unis, on ne sait pas si c'est uniquement sur les raisons techniques évoquées plus loin ou aussi par patriotisme que les jurés ont déclaré Toyota coupable dans l'affaire, mais passons ce détail pour nous concentrer sur la suite.

    Pourquoi l'avoir évoqué alors ? Parce que des juges sont forcément incompétents techniquement et ont envie de faire la nique à une entreprise étrangère quoique fort bien implantée sur le sol américain ? Y a qq chose dans les sources qui le laisse penser ? La sévérité a l'air davantage de provenir du comportement de la firme.

    • [^] # Re: tiens

      Posté par (page perso) . Évalué à 5.

      C'est une façon détournée d'éviter l'éventuel débat sur la prune infligée à Toyota, des fois que certains aient encore le jugement d'Apple vs Samsung en mémoire. Et de passer directement aux explications de Michael Barr et Phillip Koopman.

      Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

    • [^] # Re: tiens

      Posté par (page perso) . Évalué à 4.

      Parce que des juges sont forcément incompétents techniquement

      Vu que c'est aux USA, ce ne sont pas des juges qui traitent de la culpabilité ou non.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: tiens

      Posté par . Évalué à 9.

      Parce que des juges sont forcément incompétents techniquement […]

      Jurés, pas juges : c'était un procès devant un jury, le juge n'ayant qu'un rôle d'arbitre pour trancher les désaccords entre les parties sur les points de procédure («Objections, vôtre Honneur !»…).

      Pour ce qui est de leur compétence technique (aux jurés, donc), ben oui il y a plus de chances qu'ils soient incompétents que compétents lorsqu'un procès touche à un domaine tel que la programmation du microcode pour une voiture : les jurés étant recrutés dans la population locale, si le procès se déroule dans une région (état) où les industries automobile et/ou informatique sont faiblement installées, la probabilité de tomber sur un jury composé de suffisamment de jurés au fait de la programmation d'un tel logiciel devient alors très très faible, et même dans une région plus proche de l'une ou l'autre de ces industries, je ne suis pas sûr que le jury serait composé ne serait-ce que d'une minorité de jurés compétent dans cette problématique.

    • [^] # Re: tiens

      Posté par . Évalué à 1.

      Le fait que le véhicule ait pu mal fonctionner est à priori confirmé, mais est-ce qu'il est prouvé qu'il ait réellement mal fonctionné dans le cas jugé ici ?
      Sauf si j'ai loupé un truc, c'est assez surprenant qu'une entreprise soit condamnée sans que la preuve de culpabilité n'ait été apportée.

      On a eu une affaire similaire en France avec le régulateur de vitesse, d'une Renault il me semble.
      Quelqu'un se souviens comment ça s'est soldé ?

      • [^] # Re: tiens

        Posté par . Évalué à 1.

        Il me semble que tu peux la condamner pour mise en danger de la vie d'autrui puisqu'elle vend un véhicule qui ne garanti pas la sécurité (c'est même pire puisque son logiciel peut potentiellement aggraver l'accident).
        De plus on peut accuser l'entreprise de malversation déjà puisqu'elle n'a pas donné tous les éléments à la NASA et qu'elle n'a pas respecté les normes de sécurités du monde automobile (et donc il y a tromperie de la commission de vérification de conformité).

        • [^] # Re: tiens

          Posté par . Évalué à 3.

          D'un autre côté, l'article ( je n'ai pas lu les sources, j'avoue ) n'indique pas qu'il y ait eu tromperie. Tel que c'est formulé, ça me fait plutôt penser à de la négligence des organisme officiels censé autoriser ou refuser la mise en marché ( euh, ok, la formulation est pas top ).
          Pour moi, accepter si on manque d'info, c'est exactement comme configurer un firewall pour qu'il ne refuse que certains paquets, et laisse tout passer par défaut, alors qu'un firewall efficace doit tout rejeter par défaut, et avoir quelques règles qui indiquent quels paquets doivent finalement être acceptés.

          Autrement dit, selon moi, de la façon dont est tourné le journal, la faute est partagée entre Toyota pour le code de merde, et la NTHSA, qui aurait du rejeter la bagnole sous prétexte de ne pas avoir eu assez d'informations pour juger, prétexte tout à fait valable selon moi.
          Après tout, je ne trouve pas normal de livrer du code impactant sur la vie et la mort des gens, sans livrer de tests unitaires corrects. Dans un tel cas, vraiment, j'insiste lourdement, les 2 organisations sont coupables!

          Mais bon, le jugement final n'est ici pas indiqué, et j'ai la flemme de lire les sources, donc peut-être que les jurés en sont arrivé à la même conclusion que moi. J'en doute, cependant…

      • [^] # Re: tiens

        Posté par . Évalué à -4.

        pour Renault, ça concernait des rumeurs d’impossibilité de freiner lorsque le régulateur était enclenché.
        Renault a prouvé que c'était impossible après expertise du véhicule, du fait de la conception du système et du lien obligatoire entre la pédale de frein et des étriers.
        Ce qui est sûr c'est qu'aucun code source n'a jamais empêché une voiture, homologuée en Europe et aux USA, de freiner

        • [^] # Re: tiens

          Posté par (page perso) . Évalué à 1.

          Ce qui est sûr c'est qu'aucun code source n'a jamais empêché une voiture, homologuée en Europe et aux USA, de freiner

          Heu, cette histoire-ci se passe aux USA (Oklahoma).

          • [^] # Re: tiens

            Posté par . Évalué à -3.

            oui, c'est bien ce que je dis: un code source ne peut pas empêcher cette voiture de freiner
            cette dépeche nous induit en erreur

            • [^] # Re: tiens

              Posté par . Évalué à 2.

              Si la voiture accélère quand tu freines, c'est gênant. Surtout que le mode de repli attend que tu relâches complètement le frein pour couper les gaz.

              "La première sécurité est la liberté"

              • [^] # Re: tiens

                Posté par . Évalué à -3.

                Ou alors c'est que tu t'es trompé de pédale…

            • [^] # Re: tiens

              Posté par (page perso) . Évalué à 3.

              J'ai modifié la dépêche pour clarifier ce point (le logiciel aurait perturbé le freinage, augmentant la distance de freinage).

      • [^] # Re: tiens

        Posté par . Évalué à 7.

        Si ma mémoire ne me trompe pas, l'histoire de la "Renault folle" s'est déroulée ainsi:

        -Un conducteur appelle les gendarmes en disant qu'il a perdu le contrôle de sa voiture, qui s'est emballée à grande vitesse.
        -Les gendarmes mobilisent/évacuent l'autoroute, vu que la voiture roule à environ 200km/h.
        -Ils évacuent aussi le péage, et on s'attend au drame, parce que mine de rien, viser un portique du péage à 200km/h, c'est chaud, surtout avec une grosse voiture.
        -Heureusement le conducteur parvient à récupérer le contrôle du véhicule, 20km avant le péage.

        Renault a eu accès au véhicule et déclare n'avoir rien trouvé. Les experts mandatés ensuite n'ont rien trouvé non plus, et ont bien sûr pris la peine d'examiner les possibilités par Renault d'avoir effacé les preuves: leur conclusion est qu'aucune anomalie n'a été trouvée sur le véhicule et rien ne permet de penser que Renault l'aurait altéré avant leur expertise.

        En fait, c'est simple: personne n'a absolument rien trouvé.

        Renault a ensuite demandé une contre-expertise supplémentaire pour clarifier les faits une fois pour toute(on était à l'aube d'un salon de l'auto, c'était pas le moment d'avoir de la mauvaise pub). Ils accusaient le conducteur d'affabulation et pointaient un passé assez chargé: escroquerie, abus de confiance et fraude à la carte de crédit. Il venait de récupérer son permis après une suspension.

        Des expertises supplémentaires ont été faites, et toujours rien n'a été trouvé.

        D'un côté on a Renault qui a "kidnappé" la voiture pendant quasiment une semaine avant que les experts puissent y accéder, et de l'autre une histoire somme toute très très très bizarre.

        On ne juge pas sans preuve mais vous ne m'empêcherez pas de penser très fort que les grosses boites sont toujours les méchants de l'histoire…

        • [^] # Re: tiens

          Posté par . Évalué à 10.

          Ce cas était très, très, très bizarre. Une bagnole est conçue pour s'arrêter dans tous les cas, il y a de multiples sécurités pour vérifier ça. Dans le cas très improbable où le régulateur de vitesse se bloquerait à 200 km/h, combien de temps mettrait une personne normale à 1) se mettre debout sur les freins (ce qui arrête toujours la bagnole, même avec l'accélérateur bloqué à fond, et même avec l'assistance au freinage désactivée), 2) mettre le frein à main, 3) rétrograder (à fond en première, tu ne roules pas à 200!), 4) mettre au point mort, 5) couper le contact ?

          Le plus probable c'est que le gars a paniqué après avoir eu l'impression de s'être fait chopper pour excès de vitesse, et qu'il a inventé une histoire à dormir debout pour échapper à la prune.

          • [^] # Re: tiens

            Posté par (page perso) . Évalué à 2.

            Je ne sais pas si c'est le cas pour la voiture en question, mais :

            2) mettre le frein à main

            De plus en plus de voiture (dans mon Scenic 2 par ex), le frein à main est électrique. Si les servos sont défaillants ou contrôlés par un ordinateur fou (si il y a connection entre le système de frein à main et le système central), ça ne va pas forcément fonctionner.

            Si il n'est pas électrique, attention à ne pas serrer comme un bourrin, en le contrôlant, de manière à garder de l'adhérence..

            3) rétrograder (à fond en première, tu ne roules pas à 200!),

            Si c'est une boite automatique ou pilotée, est ce que c'est possible ? Est ce qu'il n'y a pas une "protection" empêchant de rétrograder à des rapports "incompatibles" avec la vitesse courante ? Il me semble que oui, même sur des boites manuelles, histoire de ne pas flinguer le moteur pour un bete changement de rapport inadéquate (je n'ai jamais vraiment essayé à fond, mais j'ai l'impression qu'il y a bien une résistance aux changements incompatibles sur les boites manuelles).

            5) couper le contact

            Attention, ça désactive le servo-frein, donc freinage beaucoup plus dur ! (il faut "pomper")

            Je pense que je ferais ça dans un cas pareil : warning, point mort, frein à pied.

            En cas d'absence ABS, en relâchant la pression au fur et à mesure de la décélération pour éviter le dérapage et garder de l'adhérence. Je tenterais aussi le frein à main, même électrique, si ça ne suffit pas…

            • [^] # Re: tiens

              Posté par . Évalué à 3.

              Il me semble que oui, même sur des boites manuelles, histoire de ne pas flinguer le moteur pour un bete changement de rapport inadéquate (je n'ai jamais vraiment essayé à fond, mais j'ai l'impression qu'il y a bien une résistance aux changements incompatibles sur les boites manuelles).

              De toute façon il suffit de débrayer, non ?

              • [^] # Re: tiens

                Posté par . Évalué à -1.

                • Oui il y a une résistance au changement de vitesse sans débrayer … mais à haut régime moteur ça passe (c'est comme ca que j'ai pu déplacer ma voiture quand le bout de plastique reliant le câble d'embrayage a la pédale de ma 306 à cassé. Métal sur plastique … y'a des ingénieurs pour faire ça ?)

                • Le frein a main … mouais … sur une voiture sans assistance au frein à main qui a des disques sur le train arriére, vous allez pas freiner grand chose … Sur une 306, encore ! (bah j'ai pas 306 voitures hein) qui à un peu vécu le freinage … c'est 20% … ce qui est conforme, passe le ct, mais ca se voit a peine quand j'oublie le frein a main au démarrage, et pas question de faire de dérapage au frein a main … ca freine tout simplement pas assez.

                • J'ai déjà vu une voiture recente ne pas répondre a la commande de freinage sur la pédale de frein d'un ami (je citerais pas de marque pour ne pas faire de polémique puisque voiture neuve, reprise par le constructeur). Et franchement dans la panique et l'urgence, je suis pas sur que tout le monde réagisse comme il le faudrait, moi y compris.

                Et pour revenir, sur un point, oui quand le moteur se coupe pour un défaut de relais de puissance sur les injecteurs, en virage, et donc que l'on a plus d'assistance a la direction, ni au freinage, qu'il fait nuit (heureusement les feux sont resté allumé), que l'on est un peu crevé … c'était limite le crash.

                • [^] # Re: tiens

                  Posté par . Évalué à 8. Dernière modification le 07/03/14 à 14:28.

                  Et pour revenir, sur un point, oui quand le moteur se coupe pour un défaut de relais de puissance sur les injecteurs, en virage, et donc que l'on a plus d'assistance a la direction, ni au freinage, qu'il fait nuit (heureusement les feux sont resté allumé), que l'on est un peu crevé … c'était limite le crash.

                  Nan mais personne n'a jamais dit le contraire. Tu es en train de rouler, et d'un coup, tu pers l'assistance au freinage : évidemment tu vas te planter au premier virage. Tu n'es pas pilote de ligne, tu n'as pas de checklist et tu n'apprends pas par cœur des séries de tests à faire dans le bon ordre pour réagir comme il faut à tout un tas de pannes imprévisibles.

                  On parlait d'une situation tout à fait différente : un type qui a une double panne improbable (blocage du régulateur à très haute vitesse ET perte de l'assistance au freinage) sur autouroute, et qui a plusieurs minutes pour réagir. Et là, il fait quoi? Il appelle les flics. C'est une vaste blague, n'importe qui essayerait de reprendre le contrôle de la bagnole avant, et comme dit plus haut, il existe 3 à 5 trucs évidents à essayer, dont deux (rétrograder et passer au point mort) ne peuvent pas ne pas fonctionner (certes, au risque de flamber le moteur).

                  Le truc, c'est que le contexte est crédible : en effet, on a de plus en plus d'électronique dans les bagnoles, en effet, les systèmes sont assez buggés et que dans certaines circonstances, les pannes peuvent être dangereuses, en effet, les constructeurs semblent aimer retirer des mécanismes physiques simples pour les remplacer par des transmissions électroniques, et qu'un jour il faudra bien assumer de mettre quelque part un coupe-circuit avec un gros bouton rouge. Tout ça est vrai, et c'est en effet inquiétant, mais ça n'enlève rien au fait que les circonstances de ce fameux "incident" font qu'il est objectivement impossible de valider la version du conducteur. Le mec est un menteur, ou il était shooté, ou il a fait n'importe quoi, mais la panne qu'il décrit est simplement impossible.

              • [^] # Re: tiens

                Posté par . Évalué à 6. Dernière modification le 08/03/14 à 03:47.

                Dans l'exemple cité, la boite était automatique, du coup on ne peut pas débrayer.

                Normalement il aurait pu la passer en neutre, par contre, comme ça le moteur aurait fait ce qu'il voulait (surtout aller au rupteur en fait) et la voiture aurait été contrôlable.

                Ah, je ne crois pas une seule seconde qu'il existe un quelconque système dans aucune voiture du monde qui t'empêche de freiner quand tu mets le régulateur de vitesse.
                Oui, me dit l'électronique, tout ça, mais bof, j'y crois pas!
                (Oui oui, Toyota, là. Mais là on parle pas de Toyota, on parle d'un régulateur de vitesse fou)

          • [^] # Re: tiens

            Posté par . Évalué à 1.

            5) couper le contact ?

            Un ami a fait ça dans des embouteillages, il a eu la surprise que la direction s'est bloquée (protection antivol) et la panique aidant, avec le fait que les freins n'étaient plus assistés, il a labouré un peu le jardin d'un riverain…

            • [^] # Re: tiens

              Posté par . Évalué à 8.

              Ouais, il a carrément retiré la clé, quoi…

              Dans la panique, tu peux aussi décrocher ta ceinture, ouvrir la portière, et te jeter dehors. ou appuyer sur tous les boutons. Ou ouvrir le capot avec la manette. Tout ça me semble plus crédible que d'appeler les flics pour qu'ils ouvrent la barrière de péage…

          • [^] # Re: tiens

            Posté par . Évalué à 0.

            Sur un forum, il était question de "l'auto allumage" de voiture diesel qui est possible si il y a trop d'huile dans le moteur. En gros, le moteur s'auto-alimente avec l'huile de refroidissement, et le couple est beaucoup plus important que la normal.

            "La première sécurité est la liberté"

            • [^] # Re: tiens

              Posté par . Évalué à 3.

              En gros, le moteur s'auto-alimente avec l'huile de refroidissement

              C'est l'huile de lubrification hein. Ça fait des années qu'il n'y a plus de moteurs de voiture refroidis par huile.

            • [^] # Re: tiens

              Posté par . Évalué à 3.

              Pas sûr de comprendre, il est vraiment possible d'augmenter considérablement le couple en brûlant n'importe quoi (de l'huile moteur, c'est vraiment "nimporte quoi" comme combustible) pendant plusieurs minutes, sans cramer le moteur et sans dégager un nuage atomique de fumée bleue? Tout ça dans un moteur où la quantité d'air admise est contrôlée au pouillème près par des systèmes électroniques pour optimiser la combustion? Et ça serait passé inaperçu auprès des experts qui ont examiné la voiture?

              Sérieusement, c'est crédible un tel truc? S'il suffisait de verser de l'huile moteur dans le diesel pour transformer une berline de série en Formule 1, j'imagine que le truc serait un peu plus connu que ça…

              • [^] # Re: tiens

                Posté par (page perso) . Évalué à 2.

                D'autant que, je n'ai pas le souvenir que l'huile changeait le fonctionnement du moteur. Je suppose que l'huile du moteur et l'huile de récupération mis dans le réservoir à des fins économiques/écologiques ont des propriétés similaires.

              • [^] # Re: tiens

                Posté par . Évalué à 1.

                Pas sûr de comprendre

                Il dit juste que le moteur peut continuer de tourner indépendamment de la commande d'accélération à cause d'huile qui s'introduit de façon inopportune dans les cylindres.

                Pas que ça augmente le couple ou que ça n’abîme pas le moteur.

                • [^] # Re: tiens

                  Posté par . Évalué à 3.

                  Je viens de vérifier par curiosité : si le moteur est usé et/ou que le type qui a fait la vidange a mis 2 bidons de trop, l'huile peut passer dans la chambre de combustion d'un moteur diésel, s'auto-enflammer, et faire monter le moteur dans les tours. Mais ça ne dure pas longtemps, parce que l'ensemble pête très vite. Ça me semble difficile d'imaginer que ça augmente le couple (ça voudrait dire que l'huile est plus efficace que le gazoil!), et il semble évident que les experts auraient vu le problème étant donné les dégats très importants sur le moteur. Ça n'a d'ailleurs rien à voir avec le régulateur, ni avec la commande de frein.

            • [^] # Re: tiens

              Posté par . Évalué à 1.

              On parle d'auto allumage sur un moteur essence généralement pas sur un diesel.

              Par exemple un essence avec une compression trop forte peut faire de l'autoallumage.

        • [^] # Re: tiens

          Posté par . Évalué à 2.

          Ton commentaire était plutôt pertinent… jusqu'a cette ligne:

          On ne juge pas sans preuve mais vous ne m'empêcherez pas de penser très fort que les grosses boites sont toujours les méchants de l'histoire…

          Il faut arrêter de blaguer, la, hein. Peut-être qu'il y à eu un défaut, mais, j'ai un mal fou à imaginer un régulateur de vitesse monter tout seul à 200km/h, si le contact est coupé.

          Il y a eu un bug, c'est certain. Reste à savoir où il se plaçait: entre le tableau de bord et la chaise, ou dans l'électronique?

          • [^] # Re: tiens

            Posté par . Évalué à 3.

            mais, j'ai un mal fou à imaginer un régulateur de vitesse monter tout seul à 200km/h, si le contact est coupé.

            Juste une précision: de nos jours sur plein de véhicules il n'est plus possible de couper le contact lorsque la voiture roule (mais il y a surement plein d'autres moyens d'arrêter le véhicule)

            • [^] # Re: tiens

              Posté par . Évalué à 3.

              Merci.

              Je lis plein de commentaires très sympathiques comme 'il suffit de débrayer' ou 'de se mettre au point mort' …
              Sauf que sur la voiture que je conduis, le couple du moteur est tellement camionesque que freiner alors que le moteur est à fond est juste illusoire. La boite est automatique séquentielle et interdit de tomber les rapports en dehors des régimes prévus pour protéger le moteur. Le frein a main est électrique et ne marche qu'a l’arrêt total. impossible de couper le contact ni de retirer la clef sans être à l’arrêt total et d'avoir mis la boite sur "P" (parking).
              Si le moteur se bloquait "a fond" je ne sais pas ce qu'il conviendrait de faire… des prières ?

              J'ai souvenir, que lors du cas dont on discute, les forces de l'ordre on demandé au conducteur de suivre quelques méthodes destinées à l’arrêter. C'est seulement lors du constat de l'impossibilité qu'ils ont commencé à vider le péage.

              • [^] # Re: tiens

                Posté par . Évalué à 3.

                Sauf que sur la voiture que je conduis, le couple du moteur est tellement camionesque que freiner alors que le moteur est à fond est juste illusoire.

                Tu as déjà fait des tests ?
                Tu ne cales jamais ?

                A haute vitesse tu es sur un rapport élevé, donc le couple moteur est d'autant réduit. Ca parrait fou que le frein ne prenne pas la main.

              • [^] # Re: tiens

                Posté par . Évalué à 6.

                Sauf que sur la voiture que je conduis, le couple du moteur est tellement camionesque que freiner alors que le moteur est à fond est juste illusoire.

                Je ne sais pas ce que c'est comme voiture, mais soit les freins sont totalement sous-dimensionnés, soit y'a un souci de conception.
                Les voitures avec gros couples sont souvent des sportives, si tu veux conduire sportif, vaut mieux avoir les freins qui vont avec.

                La boite est automatique séquentielle et interdit de tomber les rapports en dehors des régimes prévus pour protéger le moteur.

                Je n'ai jamais fait l'essai, mais je dirais que si tu demandes à baisser les rapports alors que t'es à haut régime, la voiture coupe l'injection et retarde le changement de vitesse, et ne te force pas bêtement à rester à fond. De plus, les moteurs ont tous déjà un rupteur, donc la casse n'arrivera pas si facilement.

                Le frein a main est électrique et ne marche qu'a l’arrêt total. impossible de couper le contact ni de retirer la clef sans être à l’arrêt total et d'avoir mis la boite sur "P" (parking).

                Ça c'est vrai. Et c'est assez cohérent d'ailleurs, vu que le frein à main électrique ne se comporte pas comme le frein à main classique. D'ailleurs c'est une bonne blague: ça interdit la conduite accompagnée.

                J'ai souvenir, que lors du cas dont on discute, les forces de l'ordre on demandé au conducteur de suivre quelques méthodes destinées à l’arrêter. C'est seulement lors du constat de l'impossibilité qu'ils ont commencé à vider le péage.

                Oui, tous les systèmes étaient en panne, rien de ce qu'ils lui ont demandé n'a marché, et d'un coup, peu avant le péage, quand on lui a fait comprendre que ça allait être chaud, miracle: tout redevient normal.
                Une panne vraiment spéciale vu que les experts ne trouveront absolument aucune trace d'aucune défaillance dans le système.

                Par contre, je doute qu'ils aient eu le même accès au code source que dans l'affaire Toyota.

              • [^] # Re: tiens

                Posté par (page perso) . Évalué à 3.

                Si le moteur se bloquait "a fond" je ne sais pas ce qu'il conviendrait de faire… des prières ?

                Tiens je me demandais à ce propos : sur les voitures modernes avec plein d'électronique, est-ce que si t'enlèves les (bons) fusibles, ça permet de couper certains systèmes ?

          • [^] # Re: tiens

            Posté par . Évalué à 5.

            OUCH!

            Je voulais signifier le contraire: les grosses boites NE sont PAS toujours les méchants de l'histoire.

            Non, je ne crois pas non plus qu'un régulateur, même mal branlé, accélère tout seul la voiture jusqu'à 200km/h, ni qu'il se dise "zut! le péage!" et ralentisse juste avant.

            Je ne crois pas non plus que si j'avais été un conducteur d'une telle voiture folle, je n'aurais pas été pressé de la récupérer (le mec a voulu la récupérer pendant que Renault demandait des expertises supplémentaires, histoire d'enfoncer le clou).

            • [^] # Re: tiens

              Posté par . Évalué à 9.

              OUCH!
              […]
              Je ne crois pas non plus que si j'avais été un conducteur d'une telle voiture folle, je n'aurais pas été pressé de la récupérer

              Tu as définitivement un problème avec ton régulateur de négation. :)

          • [^] # Re: tiens

            Posté par (page perso) . Évalué à 2.

            Il y a eu un bug, c'est certain. Reste à savoir où il se plaçait: entre le tableau de bord et la chaise, ou dans l'électronique?

            Ou peut-être que c'est quelqu'un qui ne savait pas qu'il ne fallait PAS acheter une voiture d'occasion à un vieux type bizarre si elle s'appelait Christine.

            • [^] # Re: tiens

              Posté par (page perso) . Évalué à 0.

              C’est triste ton opinion sur les vieux trans.

              Écrit en Bépo selon l’orthographe de 1990

  • # Qui a fait ce code?

    Posté par . Évalué à 1.

    C'est quand même un peu étonnant, utiliser un analyseur de code qui vérifie les règles MISRA et les erreurs statiques, genre QAC, ce n'est pas très cher pour une société comme Toyota. Voire un générateur de code comme Scade.

    Est-ce que ce ne serait pas un effet collatéral d'une politique d'achat qui tire les prix vers le bas et donc n'achète pas ces vérifications complémentaires?

    pl.

    • [^] # Re: Qui a fait ce code?

      Posté par . Évalué à 7.

      Quand tu es grave à la bourre sur ton projet et que tu es jugé au résultat, tu passes à la trappe la qualité de code ! C'est le responsable de projet lui même qui a pu écarter ces tâches parce qu'elle le menaient à "l'échec" suivant ses standards !
      Il peut y avoir eu par exemple un manque d'indépendance et/ou de pouvoir de la qualité.

      • [^] # Re: Qui a fait ce code?

        Posté par (page perso) . Évalué à 10.

        Il est bien connu qu'on s'occupera de la qualité du code et de la sécurité une fois que le projet sera terminé. Bon, le projet a débuté avec 6 mois de retard, le client a changé les spécifications et l'effectif est réduit, mais ne vous inquiétez pas, on va bientôt changer nos méthodes et se mettre à la qualité. Ah tiens non, le patron nous indique qu'il y a un nouveau projet à commencer (à terminer? boarf, quelle différence…) pour hier, avant que le projet actuel soit terminé. L'équipe sera coupée en deux, et les développeurs vont changer quotidiennement de projet. Si le projet est en retard, on augmentera la quantité et la durée des réunions. Pas d'inquiétude. Tout est sous contrôle.

        Cette histoire est une pure fiction et n'a aucun lien avec la réalité. Toute ressemblance avec des personnes ayant réellement existé est purement fortuite

  • # Pas de liaison mécanique ?

    Posté par . Évalué à 3.

    Y a un truc que je ne comprends pas : le freinage sur cette voiture est entièrement électronique ? Il n'y a plus de de liaison mécanique entre la pédale de frein et le système de freinage ? Il me semble pourtant que la réglementation demande une liaison mécanique, mais je me trompe peut être …

    Laurent

    • [^] # Re: Pas de liaison mécanique ?

      Posté par . Évalué à 2.

      oui, la législation l'oblige pour pouvoir obtenir l'homologation
      Parler de logiciel qui empêche de freiner c'est très trompeur. il y a forcément un problème mécanique si le freinage ne se déclenche pas

      • [^] # Re: Pas de liaison mécanique ?

        Posté par . Évalué à 3.

        -Le système est fait pour empêcher les roues de se bloquer (entre autre).
        -Cela veut donc dire qu'il peut atténuer/supprimer/moduler d'une manière ou d'une autre l'ordre manuel (ou plutôt pédestre) de freiner.
        -Donc un bug peut entraîner que l'atténuation/suppression/modulation de l'ordre de freiner se fasse de manière inadaptée.

        non ?

        • [^] # Re: Pas de liaison mécanique ?

          Posté par . Évalué à 1.

          l'atténuation oui, par exemple tu peux ne plus disposer de l'aide au freinage
          mais l'absence de freinage non

    • [^] # Re: Pas de liaison mécanique ?

      Posté par . Évalué à 3.

      Y a un truc que je ne comprends pas : le freinage sur cette voiture est entièrement électronique ?

      Ben déjà le freinage n'est plus 100% mécanique sur aucune voiture récente avec l'ABS (obligatoire sur les voiture récente en europe) et autres assistances de freinage qui vienne modulé le freinage à ta place.

      Ensuite sur wikipedia on peut voir que les constructeurs développent des solutions de frein électronique : http://en.wikipedia.org/wiki/Brake-by-wire

      Et Toyota fait partie des précurseur :

      So far, Mercedes-Benz (Sensotronic) and Toyota (Electronically Controlled Brake) already use almost fully brake-by-wire systems, on the Mercedes-Benz E-class and SL models and on Toyota's Estima.

    • [^] # Re: Pas de liaison mécanique ?

      Posté par . Évalué à 5.

      Y a un truc que je ne comprends pas : le freinage sur cette voiture est entièrement électronique ? Il n'y a plus de de liaison mécanique entre la pédale de frein et le système de freinage ? Il me semble pourtant que la réglementation demande une liaison mécanique, mais je me trompe peut être …

      En fait c'est l'auteur du journal/dépêche et les commentateurs qui n'ont pas lu les sources ou n'ont rien compris.

      Si tu regardes les slides de l'expert ( http://www.safetyresearch.net/Library/BarrSlides_FINAL_SCRUBBED.pdf ) ça parle exclusivement de l'accélérateur électronique et des logiciels associés.

      ça ne parle pas du tout du système de freinage (qui était évidemment avec une liaison hydraulique avec les roues et dont le bon fonctionnement n'a pas été mis en cause).

      • [^] # Re: Pas de liaison mécanique ?

        Posté par (page perso) . Évalué à 6.

        Slide 20, ça dit que la tâche gérant l'accélération est morte, et que pour arrêter l'accélération non voulue (UA) le conducteur devait enlever le pied du frein après l'avoir pressé. Appuyer sur le frein n'arrêtait pas l'accélération tant qu'il restait pressé. C'est pas vraiment le comportement qu'on attend d'une voiture mécanique…

        Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

        • [^] # Re: Pas de liaison mécanique ?

          Posté par . Évalué à 1.

          il faudra au moins enlever la phrase "Un jour lors d'un freinage périlleux le freinage électronique a échoué"
          ça laisse penser que le conducteur a appuyé sur la pédale de frein et que rien ne s'est passé (ce qui n'est pas possible sauf défaut mécanique grave)
          le journal est ambiguë, car il fait croire que c'est la mauvaise qualité du code source embarqué dans la voiture qui est la cause de l'accident.
          ici, les experts mettent en évidence de graves lacunes dans le développent des logiciels mais on ne connait pas les réels causes de l'accident en question.

        • [^] # Re: Pas de liaison mécanique ?

          Posté par . Évalué à 0.

          aussi la partie " Mais comment les freins ont pu ne plus marcher ?", qui enchaîne sur une description de la mauvaise qualité du code source embarqué du moteur, fait croire qu'un logiciel est impliqué dans le processus d'activation des freins.

      • [^] # Re: Pas de liaison mécanique ?

        Posté par . Évalué à 2.

        ça ne parle pas du tout du système de freinage (qui était évidemment avec une liaison hydraulique avec les roues et dont le bon fonctionnement n'a pas été mis en cause).

        Pourtant si je freine et que j'accélère en même temps le moteur cale ?

        Au passage Toyota fait des voiture avec des freins sans liaison hydraulique
        http://en.wikipedia.org/wiki/Electronically_Controlled_Brake

        Electronically Controlled Brake (ECB) developed by Toyota Motor Corporation initially for its hybrid and Lexus models, is the world's first production brake-by-wire braking system.

        2001 Toyota Estima Hybrid
        2002 Toyota Alphard
        2006 Toyota Highlander Hybrid
        2006-2009 Lexus RX 400h
        2005-2007 Lexus GS 430
        2007 Lexus GS 450h
        2007 Lexus LS 460
        2008 Lexus LS 600h
        2008 Lexus GS 460
        2010 Lexus RX 450h
        2011 Lexus LFA

      • [^] # Re: Pas de liaison mécanique ?

        Posté par . Évalué à 2.

        En parlant de la présentation, Page 25, il met +Recursion en rouge avec un gros chiffre comparé à ce qui était annoncé à la NASA.

        C'est mal la récursivité dans l'embarqué?

        Ça m'étonne, parce que je lis souvent que des langages tels que OCaml sont très appréciés pour les applis embarquées critiques et sures, et la "culture OCaml" fait qu'on écrit beaucoup de fonctions récursives.

        (Oui, je pose des questions de noobs, et y'a une bonne raison à ça…)

        • [^] # Re: Pas de liaison mécanique ?

          Posté par (page perso) . Évalué à 6.

          C'est mal la récursivité dans l'embarqué?

          C'est mal partout, et encore plus dans l'embarqué avec une taille de stack petite, si tu ne maitrises pas le nombre de récursions en fonction de la taille de la stack, sinon "stack overflow" (pas le site, mais le crash) et c'est ce qui est indiqué sur la page 26 ;-).

        • [^] # Re: Pas de liaison mécanique ?

          Posté par (page perso) . Évalué à 5.

          Le problème de la récursivité, c'est que, basiquement, à chaque sous-appel d'une fonction récursive, tu empile un nouveau contexte de fonction, ce qui augmente donc la pression sur la pile qui est de taille limitée. Si tu fais trop souvent, paf, tu peux exploser ta pile, faire un "stack overflow" avec possiblement plein de conséquence pas drôle. C'est ce qu'ils expliquent un peu slide 26 (même si certains arguments me paraissent fallacieux, entre autre sur la terminaison).

          Tu peux faire de l'analyse de l'espace mémoire nécessaire en connaissant ton facteur max de récursion, et combien te coûte exactement chaque appel sur la pile mais c'est évidemment plus compliqué que d'analyser une bête boucle.

          Ce problème peut être mitigé si tu fais de la récursion terminale, et si le compilateur implémente le tail-call optimization. Dans ces cas là, tu n'empile pas de contexte de fonction, et tu as le même coût en mémoire qu'une simple boucle. OCaml et d'autres implémentent cette optimisation, mais ce n'est pas le cas de la majorité (voir tous) compilateurs C.

          • [^] # Re: Pas de liaison mécanique ?

            Posté par . Évalué à 1.

            "entre autre sur la terminaison)."

            Non, c'est la raison principale invoqué pour misra : cette norme déteste toute structure qui pourrait faire une boucle infinie, en cas de bug.

            "La première sécurité est la liberté"

            • [^] # Re: Pas de liaison mécanique ?

              Posté par (page perso) . Évalué à 1.

              Ma question était plutôt de savoir ce qui leur faisait penser que la terminaison d'une fonction récursive est plus difficile à analyser que du code impératif sphagetti avec des boucles à gogo :)

              • [^] # Re: Pas de liaison mécanique ?

                Posté par . Évalué à 1.

                Dans les codes sécuritaires, tu as des pratiques connues pour apporter un certain nombre de bug. Par défaut, elle sont donc interdites : pas de récursion, pas de gestion dynamique de la mémoire, pas de pointeur de fonction, pas d'héritage(à moins de prouver le controle flow), et pour les boucles, il vaut mieux une borne fixe.

                Si tu veux utiliser une technique interdite, tu peux à condition de le justifier. Mais cela peut être très chiant.

                "La première sécurité est la liberté"

        • [^] # Re: Pas de liaison mécanique ?

          Posté par . Évalué à 3.

          La recursion n'est pas mal, elle est simplement totalement interdite. C'est une règle de MISRA-C.

          OCaml est utilisé pour les générateurs de code qualifié. Eux comportent des recursions, mais on se fout qu'un bug fasse péter la pile ou provoque un plantage : on leur demande de ne jamais générer de code faux.

          "La première sécurité est la liberté"

  • # freinage ou non?

    Posté par . Évalué à 7. Dernière modification le 07/03/14 à 10:58.

    Après m'être pas mal documenté sur ce problème et ne comprenant pas pourquoi la voiture n'a pas freiné alors que la liaison physique entre la pédale de frein et les étriers est une obligation (et ne peut pas être annulé par un logiciel), il semblerait que le défaut de la Toyota Camry ne l'empêche pas de freiner.
    http://auto.lapresse.ca/actualites/toyota/201401/27/01-4732769-problemes-de-freinage-avec-des-toyota-camry-hybrides-aux-etats-unis.php

    "Cette défectuosité allonge la distance de freinage du véhicule en plus de forcer son conducteur à appliquer plus de pression sur la pédale de freinage"
    je n'ai pas réussi a trouver les causes finales de l'accident dont il est question dans ce post.

    a priori, c'est suffisant pour mettre en cause Toyota

    • [^] # Re: freinage ou non?

      Posté par . Évalué à 1.

      Après m'être pas mal documenté sur ce problème et ne comprenant pas pourquoi la voiture n'a pas freiné alors que la liaison physique entre la pédale de frein et les étriers est une obligation

      Cette obligation n'est pas contradictoire avec les voitures "brake-by-wire" qui ont l'air d'être déjà dans la nature : http://en.wikipedia.org/wiki/Electronically_Controlled_Brake

      • [^] # Re: freinage ou non?

        Posté par . Évalué à 1.

        Oui cette obligation n'est pas en contradiction avec ce genre de systèmes car le lien physique est toujours garantie. C'est un système complémentaire qui améliore le freinage, si il ne fonctionne pas la voiture freine "normalement" comme sur une voiture d'il y a 10 ans.

        Brake-by-wire sur wikipedia :

        The fall back of an EBS system in case of failure is to use the ordinary air brake control pressure, so even in the event of a failure of the electronics the vehicle shall be able to make a safe stop.

  • # Article Intéressant mais ...

    Posté par (page perso) . Évalué à -5. Dernière modification le 07/03/14 à 13:56.

    … pourrait-on arrêter de s'auto-flageller en utilisant le néologisme/barbarisme "françois", je trouve ridicule cette tendance à toujours se rabaisser, oui oui nous savons, l'anglais est bien l'anglais est universel, nous ne sommes que des cul-terreux nous pauvres FrançOis non civilisés et en retard technologiquement (en autre …), sérieusement c'est fatiguant.

    Sinon en substance, encore un effet de bord de la politique de management globale des entreprises sur les X dernières années, réduction des goûts, pas chère, toujours moins chère, vite, et surtout pas cher, court-circuitage des processus d'études et de qualités. Rien d'étonnant à ce qu'on trouve de la merde dans un code qui pourtant semble critique (gestion des freins sur une voiture ce n'est pas rien), externalisation à outrance vers des plateformes de dev offshore ou seule la rentabilité et la plus-value compte, où la SSII a du revoir ses tarifs pour obtenir le contrat … bref on connait les manœuvres usuelles pour fournir du "pas cher", ce qui est plus étonnant c'est qu'on continue à s'étonner (désolé) des conséquences de ce genre de "gouvernance".

    • [^] # Re: Article Intéressant mais ...

      Posté par (page perso) . Évalué à 8.

      « françois » est un vieux terme, datant de l'ancien français, et à l'époque on parlait tout autant d'« anglois ». Pas vraiment un néologisme donc.

      • [^] # Re: Article Intéressant mais ...

        Posté par (page perso) . Évalué à 3.

        Effectivement !
        L'orthographe apparemment exotique actuellement, reflétait parfaitement la prononciation du moyen français, à savoir /frɑ̃.swɛ/, parce que /wɛ/ était rendu par le digraphe « oi », alors qu'actuellement le même digraphe « oi » se prononce /wa/.

        La finale du mot, rendue par le digraphe « oi », a glissé de /wɛ/ à /wa/ pour le prénom François, mais de /wɛ/ à /ɛ/ pour « français » où la graphie est passée de -ois à -ais.

        À noter encore que le « r » était encore prononcé de façon générale /r/ jusque au début du XXe siècle, sauf en Île-de-France ou le glissement vers /ʁ/ était déjà effectif.

        Ainsi pour deux graphies, nous avons les glissements suivante :

        /frɑ̃.swɛ/ → /frɑ̃.sɛ/ → /fʁɑ̃.sɛ/ pour « français » anciennement orthographié « françois » et
        /frɑ̃.swɛ/ → /frɑ̃.swa/ → /fʁɑ̃.swa/ pour le prénom François.

        Sed fugit interea, fugit inreparabile tempus, singula dum capti circumvectamur amore

      • [^] # Re: Article Intéressant mais ...

        Posté par (page perso) . Évalué à -4. Dernière modification le 07/03/14 à 18:44.

        Félicitation pour ta recherche Google, mais tu n'es pas sans savoir que "François" n'est absolument pas utilisé dans ce sens sur Internet mais bien avec une connotation purement péjorative …

  • # corriger cette dépeche

    Posté par . Évalué à 9. Dernière modification le 07/03/14 à 15:18.

    je pense qu'il faut vraiment corriger cette dépêche, elle induit en erreur tout le monde car de nombreuse phrases sont carrément fausses:

    "Par exemple la pression sur la pédale de frein est détectée par un capteur que le système doit analyser pour commander le freinage"

    la législation oblige un lien physique entre la pédale de frein et les étriers, le "système" informatique n'intervient pas de ce processus

    Un jour lors d'un freinage périlleux le freinage électronique a échoué, entraînant un accident qui a coûté la vie à la conductrice et blessé gravement son amie.

    "le freinage électronique" laisse penser que sur cette voiture le freinage est transmis de manière électronique, ce qui est faut.
    de plus d'après tout les documents que j'ai lu sur cette affaire le bon fonctionnement du freinage n'est pas remis en question

    Mais comment les freins ont pu ne plus marcher ?

    cette partie qui enchaîne sur une description de la mauvaise qualité du code source embarqué du moteur, fait croire qu'un logiciel est impliqué dans le processus d'activation des freins.

    le travail des 2 experts prouve que la qualité du code source associé à l'accélérateur électronique n'est pas robuste mais ne définit pas les causes de cet accident.

    ce que je reproche le plus à cette dépêche c'est de laisser penser que le freinage est contrôlé par un programme informatique.
    comme le dit alenvers, un peu plus haut, il y a effectivement des recherche dans ce sens : http://www.wired.com/autopia/2013/05/al_drivebywire/
    mais cette voiture n'est pas homologable ni en Europe ni aux USA pour le moment

    en définitive, un logiciel, même le plus défaillant, ne peut pas empêcher une voiture de freiner et encore heureux…

    • [^] # Commentaire supprimé

      Posté par . Évalué à 5.

      Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # Re: corriger cette dépeche

        Posté par (page perso) . Évalué à 7. Dernière modification le 07/03/14 à 17:49.

        If all three units fail, the clutch engages

        if (unit1ok )
          goto declutch;
        if (unit2ok) 
          goto declutch;
          goto declutch;
        if (unit3ok)
          goto declutch;
        
        clutch();
        
        declutch:
    • [^] # Re: corriger cette dépeche

      Posté par . Évalué à 4.

      la législation oblige un lien physique entre la pédale de frein et les étriers, le "système" informatique n'intervient pas de ce processus

      Ben quoi que tu en penses, si :)
      Même si tu es debout sur ta pédale de frein, ton ABS (qui comporte du logiciel, d'après wikipedia) t'empêche de bloquer tes roues (notamment sur la neige), et ce en fonctionnement nominal. Ceci se fait en intervenant sur la pression du système hydraulique et ce, sur décision informatique. Dans ce cas, on ne revient pas à une non assistance, non non, tu ne peux pas bloquer les roues.

      Cela dit, je viens d'aller regarder dans la réglementation européenne la dedans puis la. La définition présente au 1.5 de la transmission ne semble pas aussi claire que tu le prétends :

      Par «transmission», on entend l'ensemble des éléments compris entre la commande et le frein et les reliant de façon fonctionnelle. La transmission peut être mécanique, hydraulique, pneumatique, électrique ou mixte. Lorsque le freinage est assuré ou assisté par une source d'énergie indépendante du conducteur mais contrôlée par lui, la réserve d'énergie que comporte le dispositif fait également partie de la transmission

      En outre, je note le paragraphe 2.2.1.2.6.1 qui dit que les défaillances du système de freinage principal doivent pouvoir être compensées par le frein à main (pas par un mode dégradé du freinage principal).

      M'enfin, j'ai juste passé 15 minutes dessus. Si tu arrives à me montrer un paragraphe qui soit aussi clair et tranché (ie. lien physique non débrayable entre la pédale et les roues) que ce que tu penses, feel free. Mais pour moi, ce n'est pas si évident et c'est normal.

      Cette directive fait … 155 pages.

      En attendant, je reste sur ce que j'ai constaté : sur la neige (ou dans n'importe quelle situation où l'ABS se déclenche), même si je veux, je ne peux bloquer mes roues, la pédale me flanque des coups dans les jambes pour m'en empêcher, et les servos qui interviennent sur le système hydraulique sont pilotés par du soft, et ce soft n'a pas été conçu en DAL-C.
      Conclusion:
      1/ Même s'il y a un lien physique entre la pédale et les freins, il n'est pas pour autant non débrayable par l'electronique embarquée
      2/ Du coup, je ne vois pas ce qui pourrait empêcher ce soft de merder catastrophiquement.

      • [^] # Re: corriger cette dépeche

        Posté par . Évalué à 2.

        Ben quoi que tu en penses, si :)
        Même si tu es debout sur ta pédale de frein, ton ABS (qui comporte du logiciel, d'après wikipedia) t'empêche de bloquer tes roues (notamment sur la neige), et ce en fonctionnement nominal. Ceci se fait en intervenant sur la pression du système hydraulique et ce, sur décision informatique. Dans ce cas, on ne revient pas à une non assistance, non non, tu ne peux pas bloquer les roues.

        Si on considère tout les éléments sur cet accident (on en a pas beaucoup en réalité), la problématique de cette dépêche ne concerne pas l'ABS, mais c'est un sujet intéressant et similaire:
        La logique de la conception automobile est d'ajouter des systèmes pour la sécurité et le confort qui peuvent être électroniques et informatiques mais de toujours garantir la sécurité mécaniquement.
        Après avoir discuter avec un ingénieur automobile, les systèmes ABS récents (<2010?) contiennent souvent une partie logiciel, mais la conception physique du système ABS fait qu'il fonctionne par impulsions limitées. même si un pirate modifie le firmware d'un de ces ABS, il pourra au mieux gêner le freinage mais pas empêcher le freinage, la distance de freinage sera (peut-être) plus longue alors qu'elle aurait dut être plus courte avec un ABS honnête. Ce qui est déjà effectivement très problématique

        La définition présente au 1.5 de la transmission ne semble pas aussi claire que tu le prétends

        on va pas décortiquer tous les mots des documents de loi, je n'ai pas lu le passage concerné.
        si t'as plus d'éléments… en tout cas, je n'ai pas de doute à ce sujet car je n'ai jamais entendu parler d'une voiture qui ne soit pas pas conçue de cette façon, et surtout ce n'est pas le cas de la Camry impliquée dans cet accident qui est équipée par le système Brake-by-wire (j'en parle après)

        Cette directive fait … 155 pages.

        je vais passer mon tour aussi, j'ai assez lu sur ce sujet

        Du coup, je ne vois pas ce qui pourrait empêcher ce soft de merder catastrophiquement.

        le soft peut merder catastrophiquement, il m'empêchera pas le freinage puisque le système de sécurité est indépendant du logiciel

        pour en revenir au cas présent, la chose sur laquelle je ne suis pas d'accord, c'est la façon dont est construite cette dépêche:
        elle commence par affirmer :

        Par exemple la pression sur la pédale de frein est détectée par un capteur que le système doit analyser pour commander le freinage.

        puis:

        "Mais comment les freins ont pu ne plus marcher ?"

        et enchaîne sur une description de la mauvaise qualité du code du logiciel de contrôle du moteur.

        C'est très trompeur, ça laisse croire que c'est un logiciel qui est garant de la sécurité du freinage. Ce qui est absolument faux
        Voila l'explication:
        la Toyota Camry est effectivement équipée d'un système "Brake-by-wire" http://www.philmccarrolltoyota.com.au/showroom/hybrid/hybrid-camry/safety/electronically-controlled-braking
        Ce système transmet électroniquement le freinage dans le cas nominal, si ça ne fonctionne pas la voiture freine quand même avec le système classique. (l'électronique est plus efficace car il répartit mieux les forces en fonction des roues)
        Voila ce que dit la page wikipedia "brake-by-wire":

        The fall back of an EBS system in case of failure is to use the ordinary air brake control pressure, so even in the event of a failure of the electronics the vehicle shall be able to make a safe stop.

        Ça parait logique, si il n'y a une panne d’électricité, il faut quand même pouvoir freiner.

        C'est aussi le principe appliqué pour les derniers modèles "all drive by wire" (volant + freins + …)
        http://www.wired.com/autopia/2013/05/al_drivebywire/

        4// Fail-Safes
        There are three electronic control units. Normally the system holds open a clutch to disengage the mechanical connection. If all three units fail, the clutch engages and the car reverts to old-fashioned mechanical steering. Coward.

        J’anticipe la prochaine remarque : "mais si le système est tellement bogué qu'il n'est pas capable de voir qu'il est défaillant, on ne reviendra pas au système classique ?"
        Non, ce n'est pas le système informatique qui détermine sa propre défaillance, ce sont des éléments sécuritaires autonomes le plus possible mécaniques.

        Pour terminer, je suis pas du tout expert en la matière et je ne remets pas en cause le travail des experts (qui ne prétendent jamais que la voiture n'a pas freiné) mais quand je lis cet dépêche, j'ai l’impression de lire:
        "j'ai allumé mon sèche cheveux et ça à changer de chaîne sur ma télé!"
        c'est caricatural mais c'est un peu logique.

      • [^] # Re: corriger cette dépeche

        Posté par . Évalué à 0.

        Avec une bonne dose de capteurs, un moteur électrique dans chaque roue, il serait possible de faire des merveilles même sur la neige, avec beaucoup d'informatique codé correctement.

        "La première sécurité est la liberté"

      • [^] # Re: corriger cette dépeche

        Posté par (page perso) . Évalué à 8.

        Désolé, je n'ai pas le temps de retrouver toute la documentation à ce sujet, mais étant moi-même ancien développeur ABS, le système hydraulique des freins est conçu de telle manière que sans intervention logicielle, il se comporte comme un circuit hydraulique non assisté, c'est à dire que les valves d'admission sont ouvertes et nécessitent un courant pour se fermer, et non l'inverse. Que ce soit par législation (ce que j'ai toujours entendu ici) ou par bon sens, c'est en tous cas la réalité.

        D'autre part, si le logiciel n'est pas codé en DAL-C, c'est que l'industrie automobile répond à ses propres normes et non à celles de l'aviation. On parle d'ASIL, définis par l'ISO 26262, pour la sécurité et CMMI et maintenant ASPICE pour la traçabilité/qualité. L'ESP étant validé ASIL-D.

        Cette histoire m'intrigue particulièrement, parce que j'ai réalisé moi-même des tests où la pédale d'accélération et celle des freins sont actionnées ensemble au maximum. C'est un test obligatoire de mise sur route. Et si sur certaines voitures la boite de vitesse découple automatiquement, sur les autres le résultat est une chute de décélération à -8.5 m/s² au lieu de -11 m/s² en temps normal sur route sèche et pneus été. Bien sûr, ça dépend des modèles, mais pour référence, -8.5 c'est aussi la décélération typique sur route mouillée.

        Il faut sincèrement revoir cette dépêche, la défaillance n'impacte en aucun cas le système de freinage (dans ce cas précis), et beaucoup de phrases sont fausses ce qui est techniquement dommage, mais peut être même légalement diffamatoire. D'autant que le système de freinage n'est pas développé par Toyota.

        • [^] # Re: corriger cette dépeche

          Posté par . Évalué à 4.

          sans intervention logicielle, il se comporte comme un circuit hydraulique non assisté, c'est à dire que les valves d'admission sont ouvertes et nécessitent un courant pour se fermer, et non l'inverse.

          Est-il théoriquement/pratiquement possible que les vannes se bloquent en position fermée durant un freinage sur instruction logicielle sur une longue période (genre quelques secondes), par exemple dans le cas ou un capteur remonterait une roue arrêtée alors que ce n'est pas le cas en vrai sur un ABS sans répartiteur électronique ?

          On parle d'ASIL, définis par l'ISO 26262, pour la sécurité et CMMI et maintenant ASPICE pour la traçabilité/qualité.

          L'iso 26262 date de novembre 2011, c'est déjà décliné en vrai ? Avant il n'y avait rien ? CMMI c'est pas de la safety. ASPICE, j'ai jamais entendu parler.

          L'ESP étant validé ASIL-D.

          C'est déjà validé sur de vrai systèmes ? 3 ans entre la validation et des projets en cours de valid qui l'implémentent c'est pas beaucoup objectivement. Notons que dans la dépêche on parle d'un système sur une voiture de 2005, donc sans doute validé au moins un an avant. Y avait quoi à cette époque ?

          Il faut sincèrement revoir cette dépêche, la défaillance n'impacte en aucun cas le système de freinage (dans ce cas précis),

          Ce serait bien, si tu connais le domaine d'expliquer ce qui est factuellement faux. C'est impossible de juste dire, "ca ne peut pas arriver parce que conceptuellement c'est impossible" puisque le but d'un ABS est d'empêcher les roues de se bloquer. Si par exemple, tu dis, oui, ça pourrait arriver, mais le système est designé mécaniquement pour ne pas bloquer plus d'une demi seconde, que c'est une exigence validée au niveau qui va bien, je comprends.

        • [^] # Re: corriger cette dépeche

          Posté par . Évalué à 2.

          Note que je ne prétends pas que la voiture en question n'ait pas freiné à cause du code incriminé (ça c'est au tribunal de le dire), ce qui m'intéresse, c'est comment on fait pour s'assurer sur les véhicules que ça n'arrive pas ou que les conséquences sont limitées en l'absence jusqu'à très récemment de normes de safety (ISO 26262).

          • [^] # Re: corriger cette dépeche

            Posté par (page perso) . Évalué à 4.

            Comme tout système électronique, il peut y avoir des bugs et des pannes. Logicielles, ou même matérielles. Donc théoriquement et même pratiquement parlant, une valve peut se bloquer en position ouverte. L'usure, le froid, un bug, un défaut de fabrication. La question n'est pas de savoir si ça peut se produire, mais quels sont les risques et comment l'on s'assure qu'on a tout fait pour que ça n'arrive pas. Dans la logique: validation croisée des valeurs des capteurs, vérification du comportement des sorties (pour répondre à ta question, il y a un sacré paquet de vérifications sur la valeur des capteurs de vitesse des roues et si l'ABS n'autorise aucune admission de pression pendant un temps donné, il est coupé en urgence); dans la méthodologie: revues, traçabilité des changements, suivi des spécifications et conception, règles de codage; dans les tests: test unitaires, tests systèmes, tests de mise en circulation, …

            D'ailleurs Toyota a plus ou moins tout ça. Plus ou moins. Et avec plus ou moins de sérieux. La validation est faite, mais lorsque la tâche de la logique est tuée, ça tue aussi la validation, la revue a été faite sur un code incomplet, les règles de codage sont minimes et même pas respectées, etc. Je ne sais pas trop ce qu'il y avait avant ISO 26262, mais les mesures décrites au-dessus étaient connues et appliquées avant qu'une norme ne vienne formaliser le tout. Heureusement.

            J'en profite pour corriger ce que je dis au-dessus à propos du couplage obligatoire entre la pédale de freins et les étriers. C'est valable pour un circuit hydraulique, mais pas pour du "brake-by-wire" c'est à dire un capteur électronique dont le signal est traité pour activer une pompe mais sans couplage mécanique. Dans ce cas, si j'ai bien tout retenu de ce que m'a dit le collègue, il doit y avoir deux sources d'énergie au cas où l'une tombe en panne (donc deux batteries, ce qui est finalement peu intéressant au niveau du poids). D'autre part, le système de freinage doit pouvoir proposer un système principal (service) et un système secondaire d'urgence (auxiliary) (en l’occurrence le frein à main). Au passage, le frein à main ne dispose pas de système anti-blocage d'où les longues marques des pneus sur la route.

            Pour finir, je ne dis pas que le système de freinage est exempt de bugs, ni chez Toyota, ni en général. Mais dans l'affaire qui est présentée ici, il est question uniquement du contrôle moteur et en aucun cas du contrôle des freins. La sensation de ne plus pouvoir freiner étant d'après ce que j'ai lu, uniquement liée au fait que le moteur force dans l'autre sens. C'est peut être évident pour moi, et pas pour d'autres mais ces système n'ont rien à voir ensemble. Ce sont deux boites séparées, ayant chacun leur propre système embarqué (CPU, RAM, EEPROM, tout ce que vous voulez), bien souvent développés par des entreprises distinctes ayant leurs propres méthodologies. C'est un peu comme si en parlant de la faille zero-day Java, on accusait Firefox d'être un gruyère. On peut discuter de l'un ou de l'autre, mais même s'ils semblent liés d'une certaine manière, les deux n'ont rien à voir.

            • [^] # Re: corriger cette dépeche

              Posté par . Évalué à 1.

              je suis globalement d'accord avec toi
              juste une chose : la sensation de ne plus pouvoir freiner peut aussi être du à la défaillance des systèmes d'aide électroniques au freinage, la distance de freinage est allongée

          • [^] # Re: corriger cette dépeche

            Posté par . Évalué à 0. Dernière modification le 11/03/14 à 13:18.

            Note que je ne prétends pas que la voiture en question n'ait pas freiné à cause du code incriminé

            c'est quand même un peu limite de dire ça et de faire supprimer les messages qui disent le contraire dans dans le journal.
            je n'aurais pas fait supprimer ces messages la : le débat permet de mieux comprendre le problème

            c'est la dépêche elle-même qu'il faut modifier

        • [^] # Re: corriger cette dépeche

          Posté par . Évalué à 3.

          Je propose de rester simple et de retirer les allusions au fait que les freins n'ont pas fonctionné. le reste semble correct.
          je pense que l'on ne dispose pas assez d'éléments pour décrire très présisément ce qui a causé l'accident.
          Le mieux est de conserver une approche journalistique et par exemple dire "d'après la source safetyresearch.net" :

          When the service brakes would not stop her speeding sedan, she threw the parking brake, leaving a 150-foot skid mark from right rear tire, and a 25-foot skid mark from the left. The Camry, however, continued speeding down the ramp and across the road at the bottom, crashing into an embankment.

          je remplacerais la phrase "Mais comment les freins ont pu ne plus marcher ?" par un truc du style:
          "suite à cet accident, deux experts en embarqué ont étudier le systeme de controle du moteur"
          le résumé des problèmes constatés par les experts est plutôt bien fait.

        • [^] # Re: corriger cette dépeche

          Posté par . Évalué à 3.

          En passant, j'avais déjà remarqué les incohérences lorsque cette dépêche était encore un journal, c'est dommage que les remarques ne sont pas prises en compte avant.
          Il y a une procédure pour signaler un problème avant le passage en dépêche?
          comment ça fonctionne exactement?

  • # Etat de l'art de la sécurité dans le domaine automobile

    Posté par . Évalué à 3.

    Lors de la conférence RSA fin février 2014, Chris Vasalek a fait une présentation de
    ses recherches avec Charlie Miller concernant la sécurité d'une Toyota Prius.
    C'est plus ou moins la même présentation que celle-ci:
    Automotive hacking

    Pas très rassurant quand-même.

  • # Et du coup: quid des autres constructeurs?

    Posté par (page perso) . Évalué à 2.

    Article très intéressant, ça me fait un peu penser à d'autres évenements similaires mais aux issues moins tragique (il y avait eu aussi des cas de voitures Renault où le cruise control bloqué empêchait le véhicule de ralentir, d'autres soucis également sur des Opel Astra, entre autre…).

    Cela pose des questions concernant la qualité du code embarqué dans les véhicules de nos jours au sens large (et pas que Toyota, de mon point de vue du moins). Et à ce sujet, on a aucune information disponible, on est supposé faire confiance jusqu'a apprendre l'existence de ces bugs.

    Du coup, je me demande:
    1. S'il existe des constructeurs qui publie leur code source et le rende facilement accessible à la relecture (licence libre ou non)?
    2. Existe-t'il des certifications obligatoires/optionnelles concernant la qualité/stabilité/robustesse de ces firmwares?

    Merci de partager vos connaissances sur ce sujet :)

  • # demain les voitures pourront peut être être "piratées" ?

    Posté par . Évalué à 5.

    Bonjour

    Même si les deux affaires n'ont rien à voir, je découvre cet article récent du Monde.

    De toutes les façons, j'ai le souvenir, dans ma jeunesse (années 70) qu'il était possible d'avoir le carnet technique de sa voiture ou de sa moto.

    Maintenant on n'a plus qu'un mode d'emploi. Mode d'emploi souvent indigeste.

    Avant il était possible de changer une ampoule de phare soi même. J'ai l'impression que désormais il faut passer "exclusivement" chez le garagiste/concessionnaire de la marque pour faire cette opération aussi basique.

    Demain, faire sa vidange soi même va t'il devenir un acte de contrefaçon ?

    Là aussi je ressens une dérive dans l'industrie automobile qui m'inquiète quelque peu laissant du coup le champ grand ouvert pour la voiture open source de demain.

    Ne croyez vous pas ?

    • [^] # Re: demain les voitures pourront peut être être "piratées" ?

      Posté par . Évalué à 1.

      Avant il était possible de changer une ampoule de phare soi même. J'ai l'impression que désormais il faut passer "exclusivement" chez le garagiste/concessionnaire de la marque pour faire cette opération aussi basique.

      Non, le coup des phares c'est loin d'être une généralité (c'est assez borderline d'un point de vue code de la route).

      • [^] # Re: demain les voitures pourront peut être être "piratées" ?

        Posté par . Évalué à 0.

        Mes parents ont croisé une personne sur l'autoroute qui ne pouvais pas redémarrer après avoir changé une roue, ou un truc du genre. Je ne me souviens pas exactement ce qu'ils m'ont dit, mais en gros, le fait est que l'ordinateur de bord nécessitait un coup de valise pour accepter le fait que la panne ait été réparée.

        Bref, je ne suis pas sûr que ce soit borderline niveau code de la route: après tout, si la voiture refuse de démarrer si les phares ne marchent pas, et qu'il faut une valise pour faire comprendre à l'ordi de bord qu'ils ont été changés, il n'y a pas infraction au code.

      • [^] # Re: demain les voitures pourront peut être être "piratées" ?

        Posté par (page perso) . Évalué à 4.

        Le code de la route ne dit pas que tu dois pouvoir changer tes phares mais que tu ne peux rouler avec des phares cassés. Il n'est donc pas du tout interdit d'appeler le dépanneur pour te faire embarquer dans un garage pour réparer tes phares.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: demain les voitures pourront peut être être "piratées" ?

          Posté par . Évalué à 3.

          Oui

          m'enfin ton phare claque un vendredi soir et que tu es loin de chez toi, parti en week end. C'est le soir il fait nuit.
          Ok tu appelles la dépanneuse. C'est tout sauf un concessionnaire Renault qui peut seul réparer ta Renault. Et bien souvent les ateliers sont fermés le samedi matin.

          Bref, et encore si ca ne t'arrive pas le samedi soir, tu peux peut être encore louer une bagnole pour pouvoir rentrer le dimanche soir.

          Bref, je préfère conserver ma vieille bagnole, qui certes pollue un peu, sans abs et surtout sans GPS, mais qui à l'énorme avantage de ne pas rouler au mazout. Vieux modèle encore à peu près compréhensible par n'importe quel garagiste digne de ce nom et qui me permet encore de changer les ampoules moi même.

  • # Outils et méthodes ?

    Posté par (page perso) . Évalué à 1.

    Bonjour,
    Bien qu'étant particulièrement sensible à la qualité logicielle, je ne connais pas les contraintes de l'embarqué qui, d'après l'excellent présentation de Barr, ont l'air bien particulières: redondance de variables critiques pour se prémunir des résultats d'un bit-flip, etc.

    J'ai eu l'occasion de faire un peu de méthode B à l'école, sans pouvoir l'approfondir. J'ai trouvé récemment un bon compromis récemment avec les langages fonctionnels et le langage erlang en particulier (avec sa plate-forme OTP). On y trouve bien l'absence de variable globale, la supervision des process, etc. En ce qui concerne le dépassement de pile, qui est cité ici, le compilateur erlang se charge de transformer la récursivité finale en boucle, évitant justement ces dépassements vite problématique en programmation fonctionnelle où la récursivité finale est chose courante.
    Cependant, il n'est pas destiné au temps réel et à l'embarqué "critique" et donc ne met pas en oeuvre certaines contraintes citées (la redondance de certaines variables est la première qui me vient à l'esprit).

    Existe-t-il des outils, des méthodes, des langages qui permettent de mettre en oeuvre les "bonnes pratiques" citées dans la présentation pour l'embarqué ?

    Jean

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.