Journal Encore un exemple de code spaghetti : Toyota

96
5
mar.
2014
Ce journal a été promu en dépêche : Encore un exemple de code spaghetti : Toyota.

Cher nourjal,

Après les journaux successifs sur l'instruction goto, je reçois un mail d'un de nos professeurs par rapport à une affaire où les freins d'une Toyota ont refusé de fonctionner à cause d'un code spaghetti : http://www.safetyresearch.net/2013/11/07/toyota-unintended-acceleration-and-the-big-bowl-of-spaghetti-code/

L'article est très long et en angliche, ça date du 13 novembre 2013, je vais tenter un résumé :

Jean Bookout et Barbara Schwarz avaient une Toyota Camry de 2005. Le système de freinage est contrôlé par l'électronique du système. Mais voilà qu'un jour Jean Bookout perd le contrôle de sa voiture, la pédale de frein n'a aucun effet sur la vitesse de la voiture. Qu'à cela ne tienne, elle utilise donc le frein à main, ce qui fait une grosse marque de dérapage sur la route mais la vitesse du véhicule ne diminue pas, eeeeeeeet c'est le crash. Barbara Schwarz meurt des blessures, Jean Bookout se retrouve à l'hôpital pendant 5 mois.

Suite logique, procès à Toyota. Bon, on est aux États-Unis, on ne sait pas si c'est surtout sur les raisons techniques évoquées plus loin ou plutôt par patriotisme que les jurés ont déclaré Toyota coupable dans l'affaire, mais passons ce détail pour nous concentrer sur la suite.

Mais comment les freins ont pu ne plus marcher ?

Deux experts ont été désignés par l'accusation pour analyser le code source de Toyota pour juger par eux-même d'où pouvait provenir la défaillance. Michael Barr est resté 20 mois dans une salle semblable à une chambre d'hôtel, avec des gardes pour s'assurer qu'aucun document ne rentre ou ne sortirait de sa salle pendant tout le temps de son analyse. Phillip Koopman est plutôt à l'aise dans le domaine de l'embarqué.

On peut résumer le reste de l'article en : "c'est un gros code spaghetti impossible à maintenir, impossible à prédire, impossible à tester, des corruptions mémoires arrivent trop facilement, etc". Mais il y a quand même quelques perles :

There are a large number of functions that are overly complex. By the standard industry metrics some of them are untestable, meaning that it is so complicated a recipe that there is no way to develop a reliable test suite or test methodology to test all the possible things that can happen in it. Some of them are even so complex that they are what is called unmaintainable, which means that if you go in to fix a bug or to make a change, you’re likely to create a new bug in the process. Just because your car has the latest version of the firmware — that is what we call embedded software — doesn’t mean it is safer necessarily than the older one….And that conclusion is that the failsafes are inadequate. The failsafes that they have contain defects or gaps. But on the whole, the safety architecture is a house of cards. It is possible for a large percentage of the failsafes to be disabled at the same time that the throttle control is lost.

Even a Toyota programmer described the engine control application as “spaghetti-like” in an October 2007 document Barr read into his testimony.

Ce qui donnerait en bon françois :

Une grande proportion des fonctions du code sont bien trop compliquées. D'après les mesures aux normes du secteur, certaines d'entre elles sont impossibles à tester, signifiant que son fonctionnement est tellement compliqué qu'il n'est pas possible de développer une suite de test fiables ou d'avoir une méthodologie de test pour vérifier tout ce qui se passe à l'intérieur. Certaines sont tellement compliquées qu'on peut les qualifier d'impossibles à maintenir, ce qui veut dire que si vous rentrez dedans pour corriger un bug ou faire un changement, vous êtes assuré de créer un nouveau bug au passage. Ce n'est pas parce que votre voiture a la dernière version d'un firmware (c'est ce qu'on appelle du logiciel embarqué) que c'est nécessairement plus fiable que le firmware plus ancien… Et la conclusion de cela est que les sécurités [employées] sont inappropriées. Les sécurités employées ici contiennent des défauts ou des lacunes. Mais dans l'ensemble, l'architecture de sécurité est un château de cartes. Il est possible d'avoir une majeur partie des sécurités désactivées au même moment que le contrôle de l'accélération est perdu.

Même un programmeur de chez Toyota a décrit l'application de contrôle du moteur comme "du spaghetti" dans un document d'octobre 2007 que Barr a cité dans son témoignage.

La suite de l'article parle de règles de bonne pratique définies par le MISRA pour le développement en C dans l'automobile. Phillip Koopman dit que pour chaque pack de 30 violations de ces règles, on peut s'attendre à 3 bugs mineurs et 1 bug critique en moyenne. Michael Barr a analysé le code en suivant l'édition 2004 de la MISRA (rappel, la voiture date de 2005) et a trouvé… 81 514 violations. D'après les statistiques moyennes, on devrait donc s'attendre à environs 2720 bugs majeurs. Les programmeurs de Toyota ont défini leurs propres règles de bonne conduite et n'ont pas réussi à les respecter. Il y avait aussi plus de 10 000 variables globales, alors que les standards dans les développements de l'automobile réclament le 0 absolu. Le programme superviseur censé détecter si les tâches du moteur tournent toujours était incapable de détecter quoi que ce soit car il se contentait de monitorer le CPU, ce qu'il n'arrivait même pas à faire ! Les codes d'erreurs renvoyés par les tâches étaient complètement ignorés, aucune tracabilité possible.

La NASA était censé passer le code en revue, sauf qu'apparemment le code qu'on leur a donné n'était pas le code applicatif final, et des délais trop courts ont empêché les ingénieurs de la NASA de faire leur travail d'inspection. Des mails de Toyota relatent qu'ils ont mis en place des sécurités contre les erreurs de Bit flipping alors que Michael Barr n'a vu absolument aucun contrôle de ce côté-là. La NTHSA, l'entité ayant autorisé la mise sur le marché de la Toyota Camry, n'avait donc pas les informations nécessaires pour savoir que la partie informatique du véhicule était complètement foireuse.

Michael Barr a dû expliquer à un jury non compétent pourquoi tout ce qu'il a trouvé est un problème, ce qui fait donc d'excellentes ressources pour les étudiants et autres curieux :

[Barr's slides are] long, but well worth a read for anyone interested in understanding more about embedded software systems in automobiles and how not to design one; where NHTSA went wrong: and the unbelievably shaky software at the foundation of Toyota’s electronic architecture.

Soit en français :

[Les diapos de Barr sont] longues, mais méritent la lecture pour quiconque est intéressé pour en savoir plus sur les systèmes embarqués en automobile et comment il ne faut pas en concevoir, où est-ce que la NTHSA a eu tort, et le logiciel incroyablement fragile aux fondations de l'architecture électronique de Toyota.

L'article conclut sur le fait que Toyota n'aurait donc pas voulu que l'on voit son code source, non pas pour garder secret ses algorithmes, mais plutôt pour cacher le fait que c'est un merdier total.

  • # Quelles sont les entrées / sorties d'un tel programme ?

    Posté par (page perso) . Évalué à 2.

    Ce que j'ai du mal à comprendre c'est pourquoi on a besoin d'un code aussi compliqué pour un système de freinage ?

    Quelles sont les entrées / sorties d'un tel programme ?

    • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

      Posté par . Évalué à 10.

      En tout cas, ils sont désormais éligibles à la même vieille blague :

      « Rien n'arrête une Toyota, même pas ses freins »

    • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

      Posté par (page perso) . Évalué à 5.

      Quelles sont les entrées / sorties d'un tel programme ?

      Sans m'y connaître en automobile, je dirais qu'il y a au moins en entrée: la pression sur la pédale de frein et la vitesse de chacune des roues. Et en sortie la force à appliquer sur les palettes de frein de chacune des roues.

      Un système ABS anti dérapage, c'est pas si simple que ça.

      • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

        Posté par (page perso) . Évalué à 3.

        Une solution utilisée et simple :

        • la pression sur la pédale influence la pression sur les disques
        • la roue contient un disque strié qui tourne, une source lumineuse un côtés et un capteur de lumière de l'autre
          • si on freine fort et que le signal du capteur lumineux est constant, ça veut dire que la roue ne tourne plus, il faut relâcher la pression pendant un instant

        Ça fait les typiques traces de freinage avec ABS mais ça doit se coder en 20 lignes sur Arduino. Pour le système de freinage d'urgence (grosso modo, pression très élevée sur la pédalé de frein), ce serait bien qu'ils restent à des solutions simple et pas leur intelligent drive something…

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par . Évalué à 6.

          Sauf que si tu bourrine le frein au mauvais moment, tu te retrouves avec tes roues qui glissent sur la route. Ou alors, ton système ABS utilise le mauvais rythme de freinages et pauses, du coup il ne sert à rien. Et en fin de compte, tes baisé.
          Faire une voiture toute conne, ce n'est pas bien dure, mais dès que l'on veut ajouter de la complexité genre ABS, cela devient bien barbare.

          Après, cela ne justifie pas que l'on fasse du code plus médiocres que mes premières tentatives en seconde.

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par (page perso) . Évalué à 5.

            D'autant que les impacts sont multiples.

            Il y a plein de voitures ou le freinage influe sur la suspension… prend en compte la direction du volant, voir la charge de la voiture… gérer l'adhérence alors que l'on ne maîtrise pas la route est loin d'être une science simple et exacte.

            Cependant, j'avais bossé il y a quelques années sur l'AMDEC des systèmes d'air-bag. Pour un prof, ça aurait aussi fait un bon exemple de ce qu'il ne fallait surtout pas faire. L'analyse était demandé par le constructeur alors un vague copier-coller était fait. Mais il était parfaitement validé par le constructeur.

            Tant que la complexité n'est pas réellement prise en compte dans les systèmes de gestion, on arrive à des règles inapplicable (manque de compétence, manque de temps…) et donc le système est contourné. On voit ça tous les jours. Les Softs non-maintenable en sont un bon exemple. Ils ont évolués petit à petit. C'est l'un des atouts majeur d'une ré-écriture. Ça permet de repartir sur des bases exploitable.

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par (page perso) . Évalué à 0.

            Oui c'est une évolution de prévenir le blocage des roues. Le système simple que j'ai pris en exemple n'est pas parfait, mais à l'avantage d'être facile à comprendre.

            Ce que je ne comprends pas, c'est ton histoire de mauvais rythme de freinage et de pause. Il n'y a pas de bon ou de mauvais rythme, mais un freinage optimal quasiment impossible à obtenir sans connaître une quantité astronomique de variables.

            Est-ce que tu serais près à conduire une voiture où tu aurais codé le système d'ABS en te basant sur un algorithme complexe qui prend une vingtaine de variables en entrée et qui essaye d'obtenir un freinage optimal, ou un simple système qui débloque les roues après coup ?

            • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

              Posté par (page perso) . Évalué à 5.

              Nan mais c'est quand même plus complexe que ça.
              Par exemple si tu veux tenter de garantir une stabilité de la voiture pendant le freinage alors que tu es en plein virage c'est un poil plus que juste "je bloque je lache je bloque je lache…"
              Et faut pas oublier non plus que désormais ce n'est pas que du non blocage des roues, c'est aussi de l'assistance au freinage (détecter un freinage d'urgence, agir avant que le conducteur le fasse - par exemple freiner plus fort que ce que le conducteur fait - pour réduire la distance d'arrêt, etc)

            • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

              Posté par . Évalué à 10.

              Est-ce que tu serais près à conduire une voiture où tu aurais codé le système d'ABS en te basant sur un algorithme complexe qui prend une vingtaine de variables en entrée et qui essaye d'obtenir un freinage optimal, ou un simple système qui débloque les roues après coup ?

              Si tu as conduis n'importe quelle voiture de moins de 5-10ans, on se fiche que tu sois prêt ou pas, parce que tu l'as déjà fait.

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par (page perso) . Évalué à 10.

          Avec un systeme pareil, tu as interet a garder ta voiture sacrement propre…

          Nan mais serieusement, si ce genre de problematiques pouvait etre resolue en 5 min de reflexion dans un journal de DLFP, meme Toyota aurait reussi a faire qqch de potable. Je pense qu'il ne faut pas douter de la complexité de ce genre de systeme meme si coder le cas general parait extremement basique. La difficulte reside justement dans les cas exceptionnels…

          Question : En France, on a ce genre de voiture ou les systemes de securité sont decouplés physiquement des manettes de controle ? A ma connaissance, le volant est obligatoirement relié physiquement aux roues. Qu'en est il des freins ?

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par (page perso) . Évalué à -5.

            Sur une moto C'est utilisé en production. Je ne l'ai pas inventé avec mon verre de rhum à la main sur linuxfr.

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par . Évalué à 5.

            Les freins peuvent être relaché par l'ABS, et si il y a un "cruise control", l'accélération est forcément géré en logiciel.

            "La première sécurité est la liberté"

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par (page perso) . Évalué à 4.

            L'accélérateur n'est pas directement lié au moteur depuis un moment (drive by wire mais en fait ça regroupe tous les systèmes)
            Il existe du brake by wire.
            Et pour ce qui est du volant, je ne sais pas où en est la réglementation, mais j'avais bossé il y a un peu plus d'une dizaine d'année de ça sur un projet où le volant n'était justement pas relié aux roues. La problématique était justement comment faire remonter l'information au conducteur (du retour de force en gros)

            • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

              Posté par . Évalué à 4.

              Tiens, la législation a changé ? Je pensais qu'elle imposait un lien mécanique entre le volant et les roues, tout au moins en France.

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                Posté par . Évalué à 2.

                Ce n'est pas parce que ce n'est pas autorisé qu'il faille s'interdire de réfléchir à la problématique surtout que la législation évolue. Ce qui est interdit aujourd'hui ne le sera peut-être plus demain.

                • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                  Posté par . Évalué à 4.

                  Ce n'est pas du tout ce que j'ai voulu dire, d'autant que je sais qu'il existe au moins un prototype avec un Joystick central à la place du volant (chez Mercedes).

                  Je voulais juste confirmation puisque je ne me tiens pas à jour dans ce domaine, je l'ai juste lu dans un article il y a quelques années.

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                Posté par (page perso) . Évalué à 2.

                Comme je l'écrivais, je ne sais pas où en est la réglementation, je dis juste que j'avais participé à des travaux sur le sujet, pas que ça avait été réalisé ni mis en prod ;-)

                Ce qui devient sympa avec ce genre de solution c'est que tu peux faire varier aussi bien l'assistance (en fait il n'y en à pas mais tu fais varier les sensations) que la démultiplication, par exemple selon la vitesse.

                • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                  Posté par . Évalué à 2.

                  Ce qui devient sympa avec ce genre de solution c'est que tu peux faire varier aussi bien l'assistance (en fait il n'y en à pas mais tu fais varier les sensations) que la démultiplication, par exemple selon la vitesse.

                  Ça me fait penser à ce qu'avait sorti Renault. 4 roues qui tournent mais les roues arrière ne tournent pas forcément dans le même sens que les roues avant en fonction de la vitesse (en gros les roues arrières restent à peu près parallèle aux roues avant à grande vitesse et le contraire en petite vitesse). Ça me semblait être une bonne idée pour avoir des virages plus cours à petites vitesse et plus de stabilité sur autoroute.

                  Après recherche ça s'appelle 4 roues directrices et évidement ça existait déjà avant mais ça reste rare (http://www.commentcamarche.net/forum/affich-16872887-4-roues-qui-tournent-comment-apelle-ton-cela (et paf ! -10 pour mettre un lien commentcamarche sur linuxfr)).

                  Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

                • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                  Posté par . Évalué à 3.

                  Au temps pour moi, j'ai lu trop vite ton commentaire.

                  Ce qui devient sympa avec ce genre de solution c'est que tu peux faire varier aussi bien l'assistance […] que la démultiplication, par exemple selon la vitesse

                  Ça existe déjà, non ? Ce n'est pas ce que faisait la Diravi de Citroën ?
                  Et il me semble que d'autres l'ont également fait (certaines Lancia et Nissan, de mémoire).

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                  • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                    Posté par (page perso) . Évalué à 1.

                    Il me semble effectivement avoir vu cette possibilité dans certaines options haut de gamme il y as quelques années (quand j'ai acheté ma voiture). Et quelqu'un m'as déjà reporté avoir «perdu» la direction dans le volant suite a des problèmes électroniques sur un véhicule de série.

                    Aprés, quelqun est il inspiré pour aller essayer de tourner un volant dans un véhicule haut de gamme en concession, voir si les roue tournent ? ;)

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par (page perso) . Évalué à 2.

            le volant est obligatoirement relié physiquement aux roues.

            je ne pourrais pas affirmer cela. Par contre, le volant peut être contrôlé par le système embarqué : c'est le cas pour les assistances au parking. Tu appuie sur un bouton, et la voiture se park toute seule quand elle a détecté une place suffisante. Elle s'occupe alors du volant qui tourne tout seul. Par contre apparemment, le conducteur doit continuer à manœuvrer le frein et l’accélérateur (en tout cas chez Citroen).

      • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

        Posté par . Évalué à 0.

        Un système ABS anti dérapage, c'est pas si simple que ça.

        Et bien ça devrait l'être, ça éviterait des KISS à des platanes. :-D

        Si il n'y a pas de solutions c'est qu'il n'y a pas de problèmes

    • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

      Posté par . Évalué à 3.

      parce que le programme ne gere surement pas "QUE" les freins
      mais qu'en automobile tout passe dans un "bus" et qu'il faut ensuite que le programme intercepte les messages et les traite correctement.

      la pression de carburant, le rythme des bougies (injection ?)
      la temperature exterieur/interieur de la clim
      la direction assistée,
      la radio que tu viens de choisir
      etc
      etc

      • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

        Posté par . Évalué à 7.

        tout passe dans un "bus"

        Des bus. Tu ne mélanges pas les messages de ton autoradio à ceux de ton ABS

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par (page perso) . Évalué à 5.

          Toyota séparait-il vraiment l'autoradio du reste ? Apparemment les différents modules était inutilement trop liés, donc la radio faisait peut-être partie du joyeux bordel…

          Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par (page perso) . Évalué à 10.

            C'est une feature: quand tu essaies de freiner avant l'impact, ça déclenche l'autoradio sur "Allumer le feu" de Johnny pendant que la bagnole crame.

            • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

              Posté par (page perso) . Évalué à 5.

              Tu rigoles, mais le système pouvait se rendre compte qu'il y a un problème au niveau du freinage quand l'utilisateur relâchait la pédale de frein, et non pas quand il appuyait dessus.

              Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

              • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                Posté par (page perso) . Évalué à 2.

                Oui, je viens de lire les slides, c'est juste hallucinant !

              • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                Posté par (page perso) . Évalué à 4. Dernière modification le 06/03/14 à 12:45.

                Sinon j'ai bossé dans l'auto à un moment, et un de mes collègues plus expérimentés m'avait dit avoir acheté une bagnole (constructeur Français avec lequel on bossait), où tu ne pouvais pas démarrer si tu rentrais dans un certain timing écoulé depuis l'ouverture de la portière. Du coup, pour démarrer, il lui fallait ouvrir la portière à nouveau ! La bagnole était neuve, et même après plusieurs mises à jour de firmware, toujours le même problème. Je ne pense pas qu'ils en soient au stade de Toyota, mais il est vrai que les gars de la business unit aéronautique étaient juste atterrés des pratiques répandues en auto…

                • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                  Posté par (page perso) . Évalué à 2.

                  où tu ne pouvais pas démarrer si tu rentrais dans un certain timing écoulé depuis l'ouverture de la portière. Du coup, pour démarrer, il lui fallait ouvrir la portière à nouveau !

                  Pourquoi tu veux une correction?
                  Ce n'est pas un bug, c'est une fonctionnalité.
                  (oui, parfois les architectes ont de drôles d'idées…)

                • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                  Posté par . Évalué à 10.

                  De même, les gens qui bossent dans l'auto tombent des nues quand ils voient ce qu'on fait dans le domaine grand public. Si seulement on les écoutait? On lancerait aujourd'hui des téléphones très fiables utilisant la toute nouvelle technologie 3G à 2000€/pièce!
                  Et si c'était fait par des ingénieurs aéronautiques? On en serait au 2G, 10k€/pièce, et le mode d'emploi recommanderait une inspection minutieuse de l'appareil avant chaque coup de téléphone.

                  Les contraintes ne sont pas les mêmes! Les contraintes de sécurité, les contraintes de temps, de budget, de fonctionalités n'ont absolument rien à voir.

                  Les mecs qui bossent dans l'aéronautique voient peut-être de mauvaises pratiques dans l'automobile, mais j'ai vu de gros fournisseurs en aéronautique utiliser des fabs de 4" pour des capteurs semiconducteurs alors que le reste du monde est soit en transition 6-8", soit déjà en 8" (pour les capteurs, hein! pour les processeurs avancés, on est à 12"!). Si tu leur demandes pourquoi ils ne passent pas au moins en 6", ils te diront qu'ils n'ont pas le volume pour rentabiliser une ligne 6".
                  Du coup tu poses la question 2ème effet kisscool: et l'équipement, il doit être vieux, non? Ça se fabrique encore ces machines? Aucun problème de maintenance? Non, parce que ce sont quasiment des machines de protoypage! Le moindre produit est testé et retesté et qualifié avant livraison.

                  Du coup:

                  1.Essaie de lancer une bagnole sur le marché aujourd'hui avec un équipement ré-vo-lu-tio-nnaire: un ordinateur de bord! Ben oui c'est 'achement avancé, ça fait 15ans qu'on valide la première génération.

                  2.Je lance le défi à ta business-unit:
                  Utiliser leurs procédures de validation standard dans une usine qui sort 1000 véhicules par jour, pour un coup raisonnable bien entendu, embaucher 3000 personnes, ça le ferait pas.

                  Enfin, le domaine de l'automobile n'est pas aussi laxiste qu'on voudrait bien le dire ici. Là on parle du logiciel, je pourrais te parler très longtemps des procédures d'acceptation du moindre composant électronique qui finira dans une voiture. C'est assez costaud. Quand tu regardes au final, il y a peu de fabs homologuées dans le monde pour les composants de sécurité critiques.

                  Ah, un autre truc:
                  Je suis presque sûr que les fabricants de satellite seraient atterrés par les pratiques de certains avionneurs.
                  Pourquoi? Ben un satellite, une fois lancé, tu ne pourras plus jamais l'inspecter pendant sa durée de vie d'environ 20ans. Alors prévoir un cas d'usure à surveiller, c'est complètement irresponsable!

                  • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                    Posté par (page perso) . Évalué à 5.

                    pour un coup raisonnable
                    joli coût

                    :-)

                    The IoT industry needs an ID standard. Let’s name it id-IoT

                  • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                    Posté par . Évalué à 4.

                    "Je suis presque sûr que les fabricants de satellite seraient atterrés par les pratiques de certains avionneurs."

                    Pour avoir bosser pour les 2, c'est ce que les fabricants de satellite croit. Ils sont juste à des années lumières de ce qui se fait en médecine, aéronautique, nucléaire, et certaine industrie.

                    " Alors prévoir un cas d'usure à surveiller, c'est complètement irresponsable!"

                    Il prévoit un mode survie et un update de firmeware béton…

                    "La première sécurité est la liberté"

                  • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                    Posté par . Évalué à 1.

                    Les mecs qui bossent dans l'aéronautique voient peut-être de mauvaises pratiques dans l'automobile, mais j'ai vu de gros fournisseurs en aéronautique utiliser des fabs de 4" pour des capteurs semiconducteurs alors que le reste du monde est soit en transition 6-8", soit déjà en 8" (pour les capteurs, hein! pour les processeurs avancés, on est à 12"!).

                    On parle même de 16" maintenant, non ?

                    Enfin, le domaine de l'automobile n'est pas aussi laxiste qu'on voudrait bien le dire ici. Là on parle du logiciel, je pourrais te parler très longtemps des procédures d'acceptation du moindre composant électronique qui finira dans une voiture. C'est assez costaud. Quand tu regardes au final, il y a peu de fabs homologuées dans le monde pour les composants de sécurité critiques.

                    Chez ST l'automobile est une gamme de qualité à part entière (la plus élevé je crois) et tous les composants qui entrent dans une voiture sont de cette classe (y compris ceux de la télécommande des écrans qu'on trouve des les appuie tête). « J'vous pas l'prix c'est indécent ».

                    Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par . Évalué à 1.

          parce que tu crois qu'il a divers bus bien isolés pour gerer les freins d'un coté, la radio de l'autre ?

      • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

        Posté par . Évalué à 1. Dernière modification le 06/03/14 à 16:39.

        Et quand la voiture ne freine pas parce que le bus est squatté par la radio, on regrette ta vielle voiture low-tech.

        La mécanique, on maitrise bien. On a des supers modèles, complets, on sait « l'implémenter » très proprement, de manière solide, fiable, ou dont les défauts de fiabilité sont très contrôlés… Bref, c'est cool.
        En électronique et en informatique, on a rien :

        • En informatique, presque tout est indécidable, on a des bugs sournois de partout, la seule chance de rendre la chose potable ce sont les méthodes formelles, et elles sont très lourdes, et très limitées.
        • En électronique, on retrouve l'indécidabilité à cause de la complexité des circuits en pratique (même si formellement, c'est décidable). Et les implémentations dont on dispose sont merdiques, fragiles, non déterministes, et dont le comportement est très altéré par l'environnement, le montage, les rayons cosmiques…

        Enfin bref, avant de remplacer une bête barre de fer qui pousse sur un piston par un ensemble de vérins, de capteurs, de fils, de processeurs, il faut bien penser à ce que l'on est en train de faire.

        Je suis pas en train de cracher sur les nouvelles technologies « d'assistance à la conduite » qui sont vraiment très cool quand on en a besoin. Je critique juste la politique des constructeurs qui remettent en question de vieux acquis (juste pour économiser des fils) pour un truc qui on l'espère ne servira jamais.

        Please do not feed the trolls

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par (page perso) . Évalué à 0. Dernière modification le 06/03/14 à 16:55.

          on a des bugs sournois de partout,

          Lu récemment, Tarek Ziade a constaté que quand il appuie sur la touche TAB pour la complétion, ça coupe le Bluetooth pendant quelques secondes !

          Je suis pas en train de cracher sur les nouvelles technologies « d'assistance à la conduite »

          Je les attends avec impatience, on verra moins de personnes faire n'importe quoi sur la route (genre queue de poissons, faire la course avec d'autres, traverser 3 files d'autoroute et sortir en passant sur les zebras et en flirtant avec la glissière…)

          The IoT industry needs an ID standard. Let’s name it id-IoT

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par . Évalué à 3.

          (juste pour économiser des fils)

          Tu devrais te renseigner sur la quantité de fils embarqués dans une voiture. Tu comprendrais que 'juste économiser du fil' peut avoir du sens, en terme de complexité et de maintenance.

          Celà dit, c'est comme tout, il ne faut pas tomber dans l'extrême (d'un côté comme de l'autre).

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par . Évalué à 2.

          La non fiabilité légendaire de l'électronique de voiture n'est pas intrinsèque à l'électronique, mais à la voiture! Un composant électronique est toujours plus fiable que la mécanique. D'ailleurs, un des gros problèmes des voitures sont les connecteurs (mécaniques donc), réduire le nombre de câble réduit le nombre de connecteur et donc les pannes potentielles.

          "La première sécurité est la liberté"

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par . Évalué à 3.

            D'ailleurs, un des gros problèmes des voitures sont les connecteurs (mécaniques donc)

            C'est surtout le problème du prix mis dans ces connecteurs. (Regarder notamment les renault fin des années 90 au freinage avec clignotant, fréquemment le feu de stop clignote aussi ).

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par (page perso) . Évalué à 4. Dernière modification le 06/03/14 à 22:38.

          Et quand la voiture ne freine pas parce que le bus est squatté par la radio, on regrette ta vielle voiture low-tech.

          les Bus CAN utilisés en automobile ( et aéronautique ) ont un système d'écoute de porteuse avec une priorité "par bit", autre ment dit, certaines trames identifiées avec des ID basses ( au hasard les freins….) seront toujours prioritaires en cas de conflit même si un module tiers pourrit le bus.

          http://en.wikipedia.org/wiki/CAN_bus

          Et fort heureusement j'ai envie de dire.

    • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

      Posté par (page perso) . Évalué à 10.

      C'est vrai, c'est pas compliqué pourtant :

      public void onBrakePedalPressed(int currentValue) {
          brake(currentValue);
      }

      blog.rom1v.com

    • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

      Posté par (page perso) . Évalué à 3. Dernière modification le 06/03/14 à 18:13.

      Quelles sont les entrées / sorties d'un tel programme ?

      L'industrie automobile utilise massivement le bus CAN.
      C'est un bus serie assez simpliste, qui fonctionne avec un système de trame courte et du CSMA avec un système de priorité plutôt bien foutu.

      Ceci dit, le problème vient pas réellement du bus.

      Le problème vient du fait que le soft est généralement implémenter sur Micro-controleurs, sans memory protection, sans OS, avec des drivers maisons plus ou moins tester et le tout en language C old style, bien souvent sans analyseur de code….

      Là où un service mal codé va segfault et se faire relancé sur OS traditionnel. Sur un micro, il va simplement se mettre à wiper des parties complète de la mémoire :D

      • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

        Posté par (page perso) . Évalué à 2.

        Je ne comprend pas que l'industrie automobile utilise encore le C, pourquoi pas l'ADA qui semble avoir fait ses preuves chez les militaires dans l'embarqué justement ?

        • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

          Posté par . Évalué à 3.

          C'est sûrement un peu plus dur que le C, mais on peut aussi faire plein de bugs en Ada. C'est aussi possible de faire du code spaghetti, aussi simplement qu'en C. Tu peux activer (ou ne pas désactiver) plein de features, c'est utile d'avoir une erreur qui te dit "oh tu sors des limites de ton tableau" (par exemple) mais il fait faire quoi à ta voiture, dans ces cas là, ton gestionnaire d'exception ? Enfin à part l'écrire quelque part pour aider le gars qui va analyser, je dois dire que c'est plutôt pratique d'avoir ça, mais il faut aussi une stratégie de remplacement. Là où je bossais on allumait le deuxième calculateur et on lui passait le contrôle (enfin en vrai on s’arrêtait et on laissait l'électronique redémarrer le tout. Mais autant ne pas contrôler un satellite 20 à 30 secondes c'est pas très grave, autant une voiture en mouvement c'est plus embêtant. Puis c'est aussi ce qui était à bord d'Ariane si je me rappelle bien (à part que c'était de la redondance chaude) mais si tu as le même code et les mêmes entrées, ça n'aide pas.

          L'Ada peut peut-être limiter quelque trucs, mais c'est plutôt la méthode qui a un effet que le langage. Et à mon avis si tu as une équipe qui fait du C depuis x années, ils risquent d'avoir moins de bug en C que si tu leur dit "passez à l'Ada c'est trop génial."

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

            Posté par . Évalué à 2.

            Tu peux activer (ou ne pas désactiver) plein de features, c'est utile d'avoir une erreur qui te dit "oh tu sors des limites de ton tableau" (par exemple) mais il fait faire quoi à ta voiture, dans ces cas là, ton gestionnaire d'exception ?

            Il faut que ce soit valider statiquement. Comme ça tu peut obliger le programmeur à gérer le cas.

            Pour le valider statiquement tu as plusieurs options :

            • prouver le programme
            • mettre en place des règles de programmations qui empêchent que ça arrivent (ou qui réduisent les risques)
            • utiliser ou outil d'analyse statique qui arrive à voir ce genre de cas
            • utiliser un langage qui t'empêche de le faire
            • avoir des tests unitaires avec une bonne couverture du code

            Évidement ils ne sont pas exclusifs (quoi que trouver un bon outil d'analyse statique pour un langage qui fait ce genre de vérifications ne doit pas être simple). Évidement si tu n'en fait aucun faut pas s'attendre à ce que le résultat soit génial…

            Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

            • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

              Posté par . Évalué à 2.

              Dans la liste des solutions que tu cites, il me semble justement que la plupart des cas l'Ada n'avance à rien, ce sont des trucs externes. Donc ça rejoint un peu ce que je disais (il me semble) sur le fait que l'Ada puisse aider marginalement, mais que c'est surtout un process, des règles externes au langage.

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

              • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                Posté par . Évalué à 2.

                Dans la liste des solutions que tu cites, il me semble justement que la plupart des cas l'Ada n'avance à rien, ce sont des trucs externes.

                En effet, l'Ada fait plus de vérifications que d'autres langages, mais n'est pas (ou plus) le langage le plus fiable (il y a beaucoup de choses qu'il fait en dynamique) et je ne sais pas s'il existe de bons analyseurs statiques.

                Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

              • [^] # Re: Quelles sont les entrées / sorties d'un tel programme ?

                Posté par (page perso) . Évalué à 2.

                Il traîne quand même quelques trucs dans l’écosystème Ada qui permettent de limiter fortement ces trucs-là, à commencer par le Profil Ravenscar et SPARK qui restent tout de même l'un comme l'autre suffisamment proches pour ne pas les considérer comme des outils externes.
                D'ailleurs, pour ce dernier, il y a eu une présentation intéressante qui a été filmée.

                Bien sûr, aucun langage ne peut se substituer à l'analyse du problème et répondre à la question "Que fait-on quand on se prend un exception là ?".
                Ceci dit, il y a quand même des trucs que le langage permet d'éviter. Si ce n'était pas le cas, on coderait encore tout en assembleur :)
                Au passage, tu parlais d'Ariane mais il faut quand même rappeler que l'erreur ne vient pas du langage mais de ce que l'on en a fait. Retirer les vérifications sur une opération de conversion, c'est toujours dangereux… Qui plus est quand on convertit du 64 bits en 16 bits :D
                Au final, c'est une erreur humaine. Mais là encore, tu pourrais me dire qu'encore fallait-il savoir quoi mettre dans le gestionnaire d'exception, et là, ça devient de l'analyse.

  • # Superbe !

    Posté par (page perso) . Évalué à 6.

    De la part de Toyota :

    When it comes to software, there are going to be bugs, and [that] is the case not just with Toyota but
    with [any] software in the automotive industry and any software. So the issue is not whether or not there is a
    bug but rather is the bug an important material bug.
    – Ishii 5/24/12 Deposition, p. 91

    Pour résumer. puisque dans tout logiciel non trivial il y a des bugs (ce qui est vrai), alors on peut coder comme des porcs sans que l’on puisse en être responsable (sauf pour les bugs matériels).

    • [^] # Re: Superbe !

      Posté par . Évalué à 1.

      tiens ca me fait penser a ceux qui code par chez moi :D

  • # En lisant les diapos

    Posté par (page perso) . Évalué à 10. Dernière modification le 06/03/14 à 01:07.

    Les diapos envoient du lourd.

    Les inputs sont relativement limitées, cependant le code ne contrôle pas d'où vient quelle info. Donc, si la mémoire est corrompue, cela a des impacts imprévisibles, et la tâche qui gère l'accélérateur peut se bloquer, impossible de freiner. Et comme on ignore complètement les mécanismes de protection de la mémoire déjà mis à disposition dans le matériel et qu'ils ont été réimplémentés avec les pieds d'un cochon…

    Une API, l'OSEK, est justement disponible pour faire des OS aux firmwares disposés à finir dans une voiture. C'est du testé, du retesté, c'est du bon mangez-en. Sauf que Toyota a utilisé une version non standard, donc pas du tout certifiée compatible avec la spec d'OSEK, alors qu'il y avait des versions standard depuis 2002 pour le matériel utilisé. (page 28)

    Et le plus beau pour la fin, une définition page 22 :

    Spaghetti code: n. Incomprehensible source code, typically including apparently meaningless jumps or gotos or a high degree of unnecessary coupling between modules.

    Les ressources disponibles ne disent pas si c'est la faute à goto cette fois.

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

    • [^] # Re: En lisant les diapos

      Posté par (page perso) . Évalué à 5.

      **meaningless** jumps or gotos
      

      Un if/elsif/else peut tout autant être meaningless qu'un goto… tout comme un goto peut être correctement utilisé. Suffit de ne pas vérifier les bons éléments :D

      Love – bépo

    • [^] # Re: En lisant les diapos

      Posté par . Évalué à 8. Dernière modification le 06/03/14 à 20:04.

      Je pense que ça va faire travailler quelques avocats et juristes pendant un moment cette histoire.

      Comme cela a été dit par certains je ne suis pas non plus satisfait par l'évolution de l'industrie automobile. De manière générale un dispositif électronique est plus fiable qu'un dispositif mécanique nous sommes tous d'accord (sauf si le dispositif mécanique en question est un coin à bois, c'est sûr). Cependant je trouve que l'on intègre de l'électronique (et surtout de l'informatique…) en excès dans les véhicules, je pense pour faire de l'argent. Vendre des voitures toujours plus chères en obligeant leurs propriétaires à sortir un max de thune pour l'entretien. De modèles de voiture qu'un simple passionné pouvait entretenir et réparer lui-même on est passé à des modèles dont un garagiste indépendant ne peut même plus s'occuper s'il n'a pas investi lourdement dans des « malettes » vendues à prix d'or par les constructeurs. Un nombre incalculable d'interventions ont été complexifiées, à dessein d'après moi, de la vidange moteur au changement d'ampoule de phare. Vous trouvez normal que sur certains modèles la changement d'une ampoule de phare nécessite la dépose du pare-choc avant ? Que la vidange moteur nécessite un aspirateur à huile (il est content le petit garagiste d'avoir à investir là dedans…) car elle se fait par le haut ? Sur ce dernier point je n'ai d'ailleurs jamais trouvé le moindre argument technique qui justifierait cette conception. Une technologie anti-gravité secrète peut-être ? J'en appelle à votre sagesse infinie ;)

      Pour en revenir à l'électronique et raconter ma vie, au travail je conduis un C4 (un des dernier modèle de « voiture à papa » par Citroën), le frein à main de stationnement consiste en un bouton placé sur le tableau de bord en position centrale, au dessus de la sortie de la climatisation, donc à une distance à peine plus loin qu'une manette de frein à main old-school.

      Déjà entre l'appui sur ce bouton et l'activation effective du frein il se passe quelques secondes. Il n'y a que moi que ça choque ?

      Mais attendez c'est pas fini. J'ai un collègue qui a le même véhicule. Lui il a eu droit à un défaut de fonctionnement du bordel, genre tu te gares, tu descends de voiture, tu fermes la porte et là, oh… le véhicule bouge tout seul dis-donc ?! C'était un problème électronique.

      Dans cette histoire la conductrice à bien essayé d'activer son frein de secours (on l'appelle souvent comme ça aussi…) non ? Vu avez déjà entendu parler de câble de frein à main qui pète ? Ce câble peut durer toute la vie de la voiture dans des conditions climatiques optimales (si la caisse dort pas toujours dehors garée dans une prairie) s'il faut le changer il faut souvent démonter les tambours de freins arrières mais c'est une opération que chacun peut réaliser. Par contre brancher une valise (bourrée de logiciel propriétaire !) pour upgrader le firmware afin de corriger ce « bête bug » de frein qui dit non, c'est tout de suite plus classe, moins salissant et beaucoup plus lucratif… Il y a une ressemblance avec la problématique des machines à voter à ce niveau là selon moi.

      L'affaire parle bien d'une personne qui aurait peut-être pu survivre à un dysfonctionnement de son électronique embarqué si elle avait eu un frein de parking traditionnel ?

      Ne vous êtes vous jamais demandé quel serait le coût d'une voiture en 2014 si nous avions continué à concevoir des véhicules comme des 4L, Coccinelles ou autres, c'est à dire avec la puissance, le gabarit et l'équipement (d'un point de vue fonctionnel) de l'époque mais avec les technologies modernes vraiment utiles comme l'ABS, l'airbag, les barres de sécurité, etc… ?

      On serait peut-être pas tant de con « à fond sur l'autoroute dans des cages en métal » comme dirait Stupéflip. :)

      Le hold-up de l'industrie automobile est du même acabit que celui de l'industrie de l'informatique, ou agro-alimentaire ou pharmaceutique, perpétré par des lobbies, à coups de brevets, de montages financiers et d'actions en justice.

      L'ABS est utile pour la sécurité c'est indéniable (ça arrête la voiture plus efficacement que l'écrasage de pédale en règle d'un conducteur dopé à l'adrénaline qui voit un camion en face de lui… qui va appuyer de toute ses forces sur la pédale…) mais le frein à main qui peut même pas servir de frein de secours parce que quand il fonctionne il lui faut 2 secondes, faudra qu'on m'explique…

      • [^] # Re: En lisant les diapos

        Posté par . Évalué à 3.

        Le frein de parking électrique n'est pas un remplaçant isofonctionnel du frein à main, c'est tout. Outre le fait qu'il mette plusieurs secondes à s'activer, il est complètement binaire, et je te déconseille de l'utiliser en roulant.
        Pour le dernier point, je dis ça parce que ça m'est arrivé de le déclencher par inadvertance en roulant. Vu le bruit de claquement répété que ça a fait, c'est clairement pas fait pour :-)

        • [^] # Re: En lisant les diapos

          Posté par . Évalué à 2.

          pas un remplaçant isofonctionnel du frein à main

          Et des gens le payent de leur vie alors que cela n'a jamais sauvé aucune vie par ailleurs. Est-ce que ça coûte moins chère à la fabrication et en terme de TCO pour l'utilisateur ? Je suis persuadé du contraire dans les deux cas.

          je te déconseille de l'utiliser en roulant

          Par peur et par instinct de conservation j'ai même pas voulu tester, pourtant je peux dire que je teste de ces trucs… :)

          Merci pour ton témoignage maintenant je sais que je n'ai pas à regretter de ne pas avoir essayé. Ça fait du bruit mais est-ce que ça arrête la voiture ? C'est surtout ça la question :)

          Mon grand-père ingénieur avait coutume de dire que dans n'importe quel dispositif mécanique le bruit était forcément un signe négatif. Mais dans le cas d'une utilisation d'urgence le bruit peut être un paramètre dont on ne peut se passer, comme un train qui fait du bruit quand il freine… Bon par contre il faudra passer chez le concessionnaire pour qu'il puisse valider le message d'erreur du système et cliquer sur « reprendre le service » afin que le frein fonctionne à nouveau ;)

          C'était ta voiture ? Le frein a continué de fonctionner normalement ?

          • [^] # Re: En lisant les diapos

            Posté par . Évalué à 4.

            Pourtant le bruit d'un V6 ou d'un 4 cylindres à plat des Alpha-Roméo de l'époque, c'est plutôt positif!

            Bon, ok…
            --------> [ ]

            • [^] # Re: En lisant les diapos

              Posté par . Évalué à 3.

              Putain oui. Ils avaient l'un des meilleurs V6 du monde et il l'ont remplacé par un moteur General Motors il y a dix ans. Ils ne s'en sont jamais remis.

              Fiat a d'abord tué Lancia et aujourd'hui ils sont maintenant en train de massacrer Alfa Romeo. La gamme en est réduite à deux voitures citadines directement en concurrence avec les Fiat 500…

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: En lisant les diapos

                Posté par . Évalué à 3.

                Tu oublies un peu vite la 4C.

                • [^] # Re: En lisant les diapos

                  Posté par . Évalué à -1.

                  Et la 8C, et les différents protos, et la future plateforme commune Spyder/MX-5…

                  Bref je crois qu'il parle sans savoir.

                  • [^] # Re: En lisant les diapos

                    Posté par . Évalué à 3. Dernière modification le 07/03/14 à 14:38.

                    Des protos, ça ne fait une gamme. Et la 8C c'est comme la 159 et la Brera : arrêtée depuis 2010. Dans futurs modèles, il y a futur, et ils sont régulièrement repoussés.

                    Il y a dix ans, la gamme Alfa c'était ça :

                    • la 147
                    • la 156 (berline et break)
                    • la 166
                    • la GT
                    • la GTV

                    Sans compter les GTA.

                    Mais depuis 2011, ça n'est plus que la Giulia et la MiTo. À comparer avec Audi et sa gamme tentaculaire avec qui Alfa voulait rivaliser…

                    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                • [^] # Re: En lisant les diapos

                  Posté par . Évalué à 3.

                  La 4C c'est une voiture de niche, c'est pas ça qui va relancer Alfa. Même si l'image de marque s'en ressent, ça ne sert à rien sans vraie gamme. La 4C, c'est 3500 exemplaires par an alors que la production totale c'était 101 000 voitures en 2012 et même 130 000 en 2011 !

                  Dans les années 90, la marque était aussi moribonde et c'est pas un coupé de luxe qui l'a fait revivre, c'est la 156. Sauf qu'aujourd'hui il n'y plus d'équivalent : la 159 a été produite à peine six ans et rien depuis 2011. Encore aujourd'hui les vrais plans de relance sont régulièrement repoussés (un projet de 4x4, le marché des USA, remplacer la 159, etc). Même la 4C est à la bourre : elle est annoncée depuis 2011.

                  Et c'est bien pire pour Lancia. Aux dernières nouvelles, le PDG de Fiat prévoit de la restreindre au marché italien et de vendre ses modèles sous la marquer Chrysler dans le reste du monde.

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                  • [^] # Re: En lisant les diapos

                    Posté par . Évalué à 2. Dernière modification le 07/03/14 à 14:40.

                    La 4C c'est une voiture de niche, c'est pas ça qui va relancer Alfa.

                    J'avais juste compris que tu parlais de la gamme Alfa. Et la 4C (la 8C je sais même pas si y en a encore à vendre) en fait partie même si c'est un marché de niche, ça joue dans l'image sportive qu'à toujours eu Alfa Roméo. Sinon a la 156 tu peux aussi y ajouter la 147 qui a été plutot bien vendue .

                    • [^] # Re: En lisant les diapos

                      Posté par . Évalué à 3. Dernière modification le 07/03/14 à 14:55.

                      Oui, il y a aussi eu la 147 mais trois ans après. C'est bel et bien la 156 qui a permis de moderniser la gamme et même de l'élargir.

                      D'ailleurs à l'origine la 166 devait être présentée avant la 156, mais les gens de l'époque ont bien compris qu'il valait mieux commencer par le modèle le moins élitiste et le plus dynamique pour relancer la machine.

                      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                      • [^] # Re: En lisant les diapos

                        Posté par . Évalué à 0.

                        Bon c'est bien gentil tout ca mais au moins ils ont bien mis de pneus larges? :)

                        C'est chouette le vendredi tout de meme!

          • [^] # Re: En lisant les diapos

            Posté par . Évalué à 2.

            Est-ce que ça coûte moins chère à la fabrication et en terme de TCO pour l'utilisateur ?

            Pas la moindre idée. Niveau TCO, y a pas de pièces d'usure, à part la casse éventuelle théoriquement couverte par la garantie contre les vices cachés et le coût initial, bof.

            C'était ta voiture ? Le frein a continué de fonctionner normalement ?

            Non, c'était une voiture de loc et à très faible vitesse genre environ 10/15km/h. Je ne sais plus si c'était le nouveau C4 picasso ou une Opel Meriva. Ca a juste fait un sale bruit genre "clac clac clac", ca a ralenti et j'ai réappuyé sur le bidule. Ca marchait après sans soucis, je pense que c'est prévu, sinon ca se désactiverait en soft quand la voiture roule.

          • [^] # Re: En lisant les diapos

            Posté par (page perso) . Évalué à 3.

            Est-ce que ça coûte moins chère à la fabrication et en terme de TCO pour l'utilisateur ?

            À partir du moment, où il y a une assistance au démarrage en côte, il y a déjà un frein à main électrique. Du coup, ça doit coûter moins cher d'ajouter un bouton qu'un levier et un câble.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: En lisant les diapos

              Posté par . Évalué à 3.

              À partir du moment, où il y a une assistance au démarrage en côte

              C'est juste le truc encore plus insupportable que le frein à main électrique ;)

            • [^] # Re: En lisant les diapos

              Posté par . Évalué à 2.

              La logique d'implémentation dépend des constructeurs : je me souviens d'une seat ibiza qui était capable de retenir la voiture à l'arrêt en côte pendant quelques secondes quand on lâchait la pédale de frein sans faire appel au frein à main électrique (qu'elle n'avait d'ailleurs pas). J'avais trouvé ça assez chouette. C'était en 2009.

              • [^] # Re: En lisant les diapos

                Posté par (page perso) . Évalué à 3.

                Justement, ce que je dis, c'est que dans cette situation tu te retrouve avec un équivalent de frein à main électrique pour retenir la voiture en côte et un frein à main manuel, ça fait un peu double emploi.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: En lisant les diapos

                Posté par . Évalué à 1.

                je me souviens d'une seat ibiza qui était capable de retenir la voiture à l'arrêt en côte pendant quelques secondes quand on lâchait la pédale de frein sans faire appel au frein à main électrique

                C'est juste une énorme fausse bonne idée. Tu ne peux juste plus reculer en débrayant et en gérant au frein quand t'es en pente… Enfin si tu peux en attendant 5 secondes avec un frein qui lâche d'un coup ou en te forcant à passer la marche arrière à chaque fois.

                En gros ca sert pas à grand chose pour les gens qui vivent sur le plat et ca pourri la vie de ceux qui passent leur temps à faire des crénaux en pente. Franchement l'aide au démarage en côte je ne sens pas la différence en marche avant par contre quand tu as besoin de reculer… (j'ai les deux)

            • [^] # Re: En lisant les diapos

              Posté par . Évalué à 2. Dernière modification le 07/03/14 à 11:13.

              Que les gens aient besoin d'une assistance au démarrage en côte ça me sidère :)

              J'ai jamais eu à faire de démarrage en côte avec cette voiture mais je me dis que c'est forcément lié à ce type de frein à main ? Tu mets le frein quand t'es arrêté en côte et le frein se relâche tout seul quand tu accélères ? Autrement dit comme quand tu es sur le plat et que vient de démarrer :)

              • [^] # Re: En lisant les diapos

                Posté par . Évalué à 3.

                Moi non plus je ne vois pas l'intérêt d'une assistance au démarrage en côte. Mais il faut dire qu'une boîte automatique, ça aide bien :-)

                Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                • [^] # Re: En lisant les diapos

                  Posté par . Évalué à 2.

                  Mouai, fin avec un ensemble d'un peu moins de 3,5To, la boite auto ne fait pas tout en pente.

                  Mais la pédale de frein est large, on peut donc changer de pied facilement pour jouer sur le frein et accélerer en même temps.

                  Bon après, sans remorque, je ne me plains pas.

          • [^] # Re: En lisant les diapos

            Posté par . Évalué à 2.

            Merci pour ton témoignage maintenant je sais que je n'ai pas à regretter de ne pas avoir essayé. Ça fait du bruit mais est-ce que ça arrête la voiture ? C'est surtout ça la question :)

            Il est pourtant bien écrit dans le manuel de la C4 que si tu actionnes le frein de stationnement électrique en roulant, ça va automatiquement déclencher un freinage d'urgence avec le frein de service.

            Note: je n'ai pas testé.

      • [^] # Re: En lisant les diapos

        Posté par . Évalué à 3.

        Pour information, les américains (la floride ?) obligent à avoir un connecteur standard pour éviter d'avoir des mallettes hors de prix.

        "La première sécurité est la liberté"

        • [^] # Re: En lisant les diapos

          Posté par . Évalué à 4.

          L'Europe aussi depuis quelque chose comme 2000, c'est le connecteur OBD2.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: En lisant les diapos

        Posté par (page perso) . Évalué à 1.

        Mais attendez c'est pas fini. J'ai un collègue qui a le même véhicule. Lui il a eu droit à un défaut de fonctionnement du bordel, genre tu te gares, tu descends de voiture, tu fermes la porte et là, oh… le véhicule bouge tout seul dis-donc ?! C'était un problème électronique.

        j'ai déja vu le cas inverse.
        Un pauvre bougre qui l'avait activé à un feu rouge sur son gros SUV flambant neuf…. et qui pouvait simplement pas l'enlever.

      • [^] # Re: En lisant les diapos

        Posté par (page perso) . Évalué à 5.

        Je suis tout à fait d'accord. Et c'est idem pour les machines à laver, les lave-vaisselles, les fours, etc etc.

        Mon point de vue est qu'il va falloir un jour rependre ça en main et que c'est pas l'industrie qui va le proposer. Ca va donc être à nous, les particuliers, de nous réapproprier ces produits. On en voit l'émergence avec les FabLab. J'imagine très bien que dans quelques années on pourra se fabriquer soi-même ce type d'engin, voire trouver des boites qui comme les distrib linux, te fournissent du matériel Open Source, de la maintenance et des pièces détachées pour ce genre de produit.

        On pourrait penser qu'une voiture sera impossible à faire dans ce mode. Et bien non, c'est déjà en cours et pas mal avance: http://wikispeed.org/ . La caractéristique numéro 1 d'une voiture wikispeed, c'est que toutes les pièces sont remplaçables en moins de 3h. On peut notamment substituer complètement le moteur assez facilement.

        • [^] # Re: En lisant les diapos

          Posté par . Évalué à 1.

          Pour les voitures, au minimum, ca ne fonctionnera pas car il faut une homologation par les mines et la je suis pret a parier qu'il va y avoir des echanges de mallettes!

      • [^] # Re: En lisant les diapos

        Posté par . Évalué à 4.

        la vidange moteur nécessite un aspirateur à huile (il est content le petit garagiste d'avoir à investir là dedans…) car elle se fait par le haut ? Sur ce dernier point je n'ai d'ailleurs jamais trouvé le moindre argument technique qui justifierait cette conception.

        À première vue je dirais que c'est une histoire d'environnement : ça oblige le garagiste à récupérer l'huile plutôt que la laisser couler sur le sol puis la rejeter vers les égouts. Rien ne l'empêche bien sûr de la jeter mais vu que c'est déjà dans un récipient, c'est plus facile de la recycler.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: En lisant les diapos

          Posté par . Évalué à 1.

          Euh, il y a vraiment des voitures qui n'ont pas de trou de vidange ? Ce n'est pas juste que les garages utilisent l'aspirateur parce que c'est plus pratique ?

  • # Et maintenant?

    Posté par (page perso) . Évalué à 6.

    Le code date de 2005. Ils sont condamnés, OK.
    Mais… Est-ce qu'il y a une information sur le code d' aujourd'hui?

    C'est vraiment le genre de code qui mériterait d'être en lecture libre à défaut d'être Open-Source
    (On a vu il y a très peu que l'Open-Source ne suffit pas, qu'on soit une grosse méchante boite ou un petit gentil libriste de la première heure, car en fait pas foule ne relit le code et donc ça conforte les détracteur de la sécurité par le code ouvert qui doivent se faire plaisir en ce moment, mais peut-être que le fait que ça touche quelque chose de plus sensible changerait des choses et motiverait les gens à scanner le code, se plaindre, mauvaise pub pour une voiture et c'est sensible bien plus sensible dans ce domaine, et changer les mentalités du code).

    • [^] # Re: Et maintenant?

      Posté par . Évalué à 3.

      D'après :
      http://www.ansys.com/staticassets/ANSYS/Conference-2013/Static%20Assets/Esterel%20&%20System%20Overview%20for%20Auto%20Conference%20-%20FINAL.pdf

      Toyota utilise SCADE suite, on peut imaginer que son code sera plus propre.

      Sinon, le fait d'avoir un code open source ne change rien. Il faut avoir un code qualifié ou certifié, suivant une norme comme dans l'aéronautique, le nucléaire, l'industrie,…

      "La première sécurité est la liberté"

      • [^] # Re: Et maintenant?

        Posté par (page perso) . Évalué à 5.

        Oui enfin, la NASA a validé le code parce que pas le temps et que Toyota a fourni de faux détails, alors qu'ils avaient trouvé des indices comme quoi c'était merdique. Et la NTHSA a dit "la NASA a dit OK donc c'est bon de ce point de vue-là". Donc il faudrait aussi faire un effort du côté des organismes de vérification.

        Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

        • [^] # Re: Et maintenant?

          Posté par . Évalué à 1.

          La NASA n'est pas un organisme de certification. Il aurait eu affaire avec la FAA, cela aurait été autre chose.

          "La première sécurité est la liberté"

          • [^] # Re: Et maintenant?

            Posté par (page perso) . Évalué à 9.

            Déjà, il aurait fallu monter la Toyota sur une catapulte.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Et maintenant?

              Posté par . Évalué à 3.

              Question : est-ce qu'on peut se servir de la catapulte pour donner de l'élan à une Toyota ?

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Et maintenant?

      Posté par . Évalué à 10.

      Moi j'irais plus loin dans les questions:

      Il y a bien des Camry en France, non? Elles ont le même logiciel?
      La Camry n'est pas la seule bagnole conçue par Toyota à l'époque. J'aurais du mal à croire qu'ils ont écrit un code 100% dédié sans rien en commun avec aucun autre modèle.
      Alors, les Toyota, toutes des bombes à retardement?

      Aujourd'hui, on nous dit qu'ils ont amélioré les procédures. Mais pour le cas présent, ils ont commencé par un bon gros pipeau des familles, alors pourquoi on leur ferait confiance pour la suite?

      Quand bien même ils l'auraient amélioré, est-ce que quelqu'un est capable de dire honnêtement et avec assurance quelle sont les modèles à risque qui roulent aujourd'hui?

      Et quid des autres constructeurs? Si Toyota peut passer à travers les mailles du filet, pourquoi les autres ne le pourraient-ils pas? Qui vous dit qu'ils sont les seuls à faire leur tambouille dans leur coin?

      • [^] # Re: Et maintenant?

        Posté par (page perso) . Évalué à 2.

        Il y a bien des Camry en France, non? Elles ont le même logiciel?
        Oui, mais très peu, ligne banale, peu de ventes.

        The IoT industry needs an ID standard. Let’s name it id-IoT

    • [^] # Re: Et maintenant?

      Posté par (page perso) . Évalué à 3.

      « […] peut-être que le fait que ça touche quelque chose de plus sensible changerait des choses […] »

      La sécurité informatique ça touche directement le compte en banque. Et pour beaucoup, ça c'est plus sensible que leur propre vie. Ergo…

      • [^] # Re: Et maintenant?

        Posté par . Évalué à 2.

        Et pour beaucoup, ça c'est plus sensible que leur propre vie.

        Sauf que ce sont les banques qui accusent le coût de cette fraude, ça touche des gens, c'est sûr, mais pas directement la plupart de la population. L'accident de la circulation lui il est déjà plus partagé. Et puis tu préférerais te retrouver ruiné en bonne santé ou bien estropié avec augmentation de capital grâce à un procès gagné d'avance ? Si tu ne souhaites pas répondre à cette question dis moi au moins si tu préfères des dents en bois ou bien une jambe en mousse…

        • [^] # Re: Et maintenant?

          Posté par (page perso) . Évalué à 2. Dernière modification le 06/03/14 à 21:46.

          Et puis tu préférerais te retrouver ruiné en bonne santé ou bien estropié avec augmentation de capital grâce à un procès gagné d'avance ?

          Dans certaines régions (même de France), le choix est clairement sur "estropié avec rente" pour pas mal de monde, la partie la plus au plus gros ration bénéfice/chiant étant certains doigts il parrait (reste ensuite à s'estropier mais pas trop, pas toujours facile, surtout en accident de voiture :) ).
          L'imagination humaine sur l'optimisation financière n'a pas de limite ;-).

          Mais surtout :

          ruiné en bonne santé

          Même en France (ne parlons pas d'autres pays), ces mots sont rarement compatibles : l'assurance maladie fait qu'on est tous égaux devant la mauvaise santé, mais bon il y en a qui sont plus égaux que d'autres.

          • [^] # Re: Et maintenant?

            Posté par . Évalué à 0.

            le choix est clairement sur "estropié avec rente" pour pas mal de monde

            L'imagination humaine sur l'optimisation financière n'a pas de limite ;-).

            C'est ton cynisme qui n'a pas de limite.

            l'assurance maladie fait qu'on est tous égaux devant la mauvaise santé

            Non. Dans les faits les très pauvres ont droit à une CMU complémentaire, eux sont donc à peu près tous égaux devant leur mauvaise santé et leur galère, les simples pauvres ne sont pas éligibles à la CMU complémentaire (dès que plus de 600 et quelques euros par mois…) et doivent se payer leur complémentaire. Sur 600 euros, 20,30 ou 40 euros (30€ = 1/20 du revenu mensuel) de couverture santé n'est pas négligeable . Et tu m'accorderas peut-être que c'est surtout la complémentaire, qu'elle soit une mutuelle ou une assurance privé, qui paye le gros des frais.

            Mais oui il y a aussi des recours auprès de la CPAM pour des cas qui le nécessite vraiment en terme de santé publique.

            l'assurance maladie fait qu'on est tous égaux devant la mauvaise santé, mais bon il y en a qui sont plus égaux que d'autres.

            Je te prie de m'excuser de te le faire remarquer mais ça c'est vraiment une phrase à deux balles.

            • [^] # Cynisme

              Posté par (page perso) . Évalué à 0.

              C'est ton cynisme qui n'a pas de limite.

              Cynisme
              "Au sens contemporain, le cynisme est une attitude ou un état d'esprit caractérisé par une faible confiance dans les motifs ou les justifications apparentes d'autrui, ou un manque de foi ou d'espoir dans l'humanité. Il est parfois considéré comme une forme de lassitude fatiguée, mais aussi comme un mode de critique ou de scepticisme réaliste."
              "Cet état d'esprit se manifeste comme le résultat de la frustration, de la désillusion, et d'une confiance faible ou inexistante envers les organisations, autorités et d'autres aspects de la société."

              Je ne me sens pas trop concerné par les mots "lassitude fatiguée" et "frustration" (je vis avec, en profite) qui ne sont pas obligatoire pour entrer dans la définition donc ça va, mais sinon j'aime bien le mot que tu m'appliques, j'espère que tu ne visais pas une connotation négative :).

              • [^] # Re: Cynisme

                Posté par . Évalué à 2.

                Je ne me sens pas trop concerné par les mots "lassitude fatiguée" et "frustration" (je vis avec, en profite)

                Et c'est bien :) Je ne pense pas que cynique => frustré.

                Si je dois sélectionner le groupe nominal qui correspond le plus à ce qui m'a fait employé le terme cynisme dans mon dernier commentaire parmi cette définition c'est : « manque de foi ou d'espoir dans l'humanité ».

                "Cet état d'esprit se manifeste comme le résultat de la frustration, de la désillusion, et d'une confiance faible ou inexistante envers les organisations, autorités et d'autres aspects de la société."

                Cette partie ne me semble pas pouvoir faire partie de la définition, il s'agit d'une théorie. D'une analyse fondée sur on ne sait quoi.

            • [^] # Re: Et maintenant?

              Posté par . Évalué à 3.

              C'est une citation de Georges Orwell : de mémoire « Tous les animaux sont égaux, mais certains le sont plus que d'autres », dans la ferme des animaux.

              bépo powered

              • [^] # Re: Et maintenant?

                Posté par (page perso) . Évalué à 0.

                Oui, George Orwell écrit des phrases à deux balles ;-).

                • [^] # Re: Et maintenant?

                  Posté par (page perso) . Évalué à 6.

                  Oui enfin, cette phrase est ressortie à tout bout de champs et souvent bien au delà de la portée de Orwell.
                  Ce livre était une critique du communisme, dont il était partisan, et de son histoire qui a dérapé. Les cochons qui deviennent des hommes en adoptant tout ce qu'ils ont critiqué par le passé fait référence aux dirigeants de l'URSS où ils ont repris tous les privilèges en laissant pour compte la population.

                  Je pense que vous le savez déjà.
                  Le but de l'assurance maladie n'est pas forcément une égalité absolue, qui est sans doute impossible, mais reste un système bien plus égalitaire que ce qu'il existe ailleurs dans le monde. D'autant que la Sécu de base couvre pas mal de choses, dont les traitements les plus lourds, les maladies les plus longues et coûteuses, les visites préventives… Même un pauvre sera soigné si c'est urgent, alors que dans certains pays on regarde avant s'il a une mutuelle pour le prendre en charge…

                  C'est bien évidemment améliorable, mais je pense que cette citation d'Orwell n'était pas nécessaire.

  • # à promouvoir en dépêche ?

    Posté par (page perso) . Évalué à 10.

    Tout est dans le titre.

    • [^] # Re: à promouvoir en dépêche ?

      Posté par (page perso) . Évalué à 5.

      Avant une éventuelle promotion en dépêche, j'ai retrouvé quelques corrections à apporter :

      des corruptions mémoires

      des corruptions de la mémoire

      de développer une suite de test fiables

      suite de tests fiable

      Une grande proportion des fonctions du code sont bien trop compliquées

      Il y a un trop grand nombre de fonctions beaucoup trop compliquées.

      By the standard industry metrics

      La traduction que j'ai proposée, "D'après les mesures aux normes du secteur", ne me plaît pas vraiment. Des idées ?

      Même un programmeur de chez Toyota a décrit l'application de contrôle du moteur comme "du spaghetti"

      "du code spaghetti"

      Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

      • [^] # Re: à promouvoir en dépêche ?

        Posté par . Évalué à 5.

        de développer une suite de test fiables

        suite de tests fiable

        suite fiable de tests fiables ?

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: à promouvoir en dépêche ?

          Posté par (page perso) . Évalué à 5.

          On parle de "suite de tests" pour désigner un ensemble de tests qui vérifient tout ce qu'il y a à vérifier. Tous les tests d'une suite peuvent être fiables, dans le sens où elles font bien le test qu'elles sont censées effectuer, mais l'ensemble de ces tests ne couvre peut-être pas ce qu'il est essentiel de couvrir, auquel cas elle n'est pas fiable.

          Par exemple : des tests vérifient que la mémoire est protégée des corruptions mémoire, mais pas de test pour vérifier si une tâche est automatiquement relancée au cas où elle plante. Les tests sont fiables, mais pas la suite de tests.

          Après, quant à indiquer deux fois "fiable", si les tests ne sont pas fiables alors la suite de tests ne l'est pas non plus.

          Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

    • [^] # Re: à promouvoir en dépêche ?

      Posté par (page perso) . Évalué à 4.

      C'est fait.
      Vous pouvez aller modifier le texte

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # Preuve du code pour éviter ces âneries

    Posté par (page perso) . Évalué à 4.

    Normalement les codes sensibles comme dans l'aérospatial sont prouvés voire même écrits par d'autres programmes pour limiter les effets de bords et bogues qu'un humain pourrait générer.

    Pourquoi est-ce qu'un système de sécurité de la voiture n'en profiterait pas ? Que l'autoradio plante ce n'est pas trop un problème mais le frein c'est plus emmerdant…

    • [^] # Re: Preuve du code pour éviter ces âneries

      Posté par . Évalué à 2.

      La norme https://fr.wikipedia.org/wiki/ISO_26262 est toute neuve, cela arrive doucement.

      "La première sécurité est la liberté"

      • [^] # Re: Preuve du code pour éviter ces âneries

        Posté par . Évalué à 3.

        Je n'y ai pas tout compris, mais pour moi l'ISO26262, ce n'est pas une garantie que le système est sûr, mais que les risques ont été correctement identifiés et documentés.

        Ça passe entre autre par la traçabilité du processus de développement (d'habitude laissé un peu de côté, on trace surtout les tests et la qualif de la version finale).

        • [^] # Re: Preuve du code pour éviter ces âneries

          Posté par . Évalué à 2.

          Les normes comme la DO178 demande que l'on prouve que le processus de fabrication du logiciel est clean. Cette norme est dans la même veine, puisque l'on ne peut pas prouver qu'un logiciel est sans bug, on exige que le processus soit parfait, que la doc soit complète et vérifié, et que le test respect certaine exigence (couverture de code minium, couverture de spec, etc…)

          "La première sécurité est la liberté"

          • [^] # Re: Preuve du code pour éviter ces âneries

            Posté par (page perso) . Évalué à 3.

            Oui, c'est la théorie…

            Le nombre de boites dans ce domaine qui s'assoient complètement sur ces normes, et sur toute méthode…

            The IoT industry needs an ID standard. Let’s name it id-IoT

            • [^] # Re: Preuve du code pour éviter ces âneries

              Posté par . Évalué à 1.

              Juste mort de rire.

              Si tu veux avoir le droit de faire voler ton avion, tu as intérêt à respecter à la lettre ces normes. Et si tu fous à la poubelle 2 ans de dev avec une équipe de 10 personnes, tu le fait pour recommencer. C'est arrivé plus d'un fois (genre fadec A400M de mémoire).

              Et si un jour tu bosses avec un DER de la FAA, tu comprendra comment prendre 18 mois dans un projet, parce que les specs ne lui plaisent pas.

              "La première sécurité est la liberté"

              • [^] # Re: Preuve du code pour éviter ces âneries

                Posté par (page perso) . Évalué à 2.

                Et si tu fous à la poubelle 2 ans de dev avec une équipe de 10 personnes, tu le fait pour recommencer. C'est arrivé plus d'un fois (genre fadec A400M de mémoire).

                donc tu confirmes ce que je dis.

                C'est pas parce qu'on demande aux boîtes de faire du DO178 et qu'elles promettent de le faire, qu'elles le font vraiment.

                The IoT industry needs an ID standard. Let’s name it id-IoT

              • [^] # Re: Preuve du code pour éviter ces âneries

                Posté par . Évalué à 5.

                Oui mais à moins de payer ta Clio 50k€, tu ne verras pas les mêmes contraintes appliquées à l'automobile, et c'est bien de ça qu'on parle.

                Alors tu peux toujours parler de la FAA qui renvoie les ingés à leurs ordis, la FAA existait déjà en 2005 et la Camry a été mise sur le marché. Pourquoi? Parce que la FAA n'a rien à voir là-dedans!
                Une voiture, c'est pas un projet sur 20ans, on ne peut pas y mettre les mêmes contraintes!

  • # Analyse statique

    Posté par . Évalué à 4.

    Michael Barr est resté 20 mois dans une salle semblable à une chambre d'hôtel,

    Il a juste lancé Polyspace ou autre.

    C'est étonnant que des voitures soient vendu avec du code non validé par analyse statique alors que des vies sont en jeu.

  • # Et les statistiques ?

    Posté par . Évalué à 7.

    La première question qui me vient à l'esprit est : combien y'a-t-il eu d'accident à cause de ce code ?

    Bien que je ne sache pas combien d'exemplaire de ce modèle se trouvent en circulation, il y en a certainement plusieurs centaines de milliers puisque c'était à un moment la berline la plus vendue du marché aux USA.

    Ici on ne parle que d'un cas, mais a-t-on des statistiques, ou des informations sur les rappels liés à ce code ? S'il n'y a eu qu'un seul mort dont on soit sûr qu'il en soit la cause, c'est finalement qu'il ne fonctionnait pas si mal malgré sa mauvaise qualité…

    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Et les statistiques ?

      Posté par (page perso) . Évalué à 7.

      Ça me rappelle une scène de Fight Club…

    • [^] # Re: Et les statistiques ?

      Posté par . Évalué à 4.

      Franchement, je suis très sceptique en lisant ce journal et les commentaires.
      Travaillant dans le domaine de la programmation sécuritaire (pas automobile), je pense qu'il doit y avoir un mal entendu (comme l'histoire de la personne qui ne pouvait pas freiner sa Renault à cause du limiteur de vitesse, ce qui est mécaniquement impossible).
      Par contre si les informations de ce journal sont vraies, le problème ne vient pas directement du code source mais d'un énorme problème de conception: sur une voiture aucun logiciel ne doit normalement empêcher l’action mécanique du freinage, seul un défaut mécanique peut causer une panne de frein.
      de plus, les fonctions sécuritaires de la voiture sont totalement indépendantes des autres fonctions (autoradio, gps…)
      ça m'est déjà arrivé d’être en panne de batterie sur l'autoroute, dans ce cas il n'y a plus de direction assistée, plus D’ABS mais la voiture tourne toujours et les freins fonctionnent. c'est le minimum vital,
      sans ça le nombre d'accidents serait énorme…

      je ne peux pas croire que Toyota, qui est le constructeur qui vend le plus de voiture au monde, ne respecte pas ces règles logiques de base.

      • [^] # Re: Et les statistiques ?

        Posté par (page perso) . Évalué à -10. Dernière modification le 06/03/14 à 11:45.

        je ne peux pas croire que Toyota, qui est le constructeur qui vend le plus de voiture au monde, ne respecte pas ces règles logiques de base.

        Les distros les plus installées sur les serveurs et une des marques les plus connues du grand public ne respectent pas non plus "ces règles logiques de base" en programmation avec un bon trou de sécurité… Donc je peux le croire!
        (dans tous les cas cités, ça marche correctement 99.999% du temps, et du coup ce n'est pas évident de voir le problème même pour les "gros" qui sont composés… d'humains, avec des impératifs personnels de rentabilité)

        • [^] # Re: Et les statistiques ?

          Posté par . Évalué à 7.

          Tu ne peux pas t'en empêcher, hein ? Quelque soit le sujet tu vas forcément remettre l'écosystème Linux sur le tapis juste pour le critiquer, non ?

          M'enfin je n'argumenterai pas avec toi, je me contenterai d'écrire que je ne pense pas qu'on puisse comparer la sécurité physique immédiate des personnes avec la sécurité des données.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # HS parler c'est mal

            Posté par (page perso) . Évalué à -10. Dernière modification le 06/03/14 à 13:04.

            juste pour le critiquer

            Rigolo : j'ai parlé de 2 entité (une qui est celle que tu cites, l'autre étant un "concurrent") comme exemple, et la conclusion est :
            - tu dis que je critique (ha ha ha, ha oui parler de, c'est tout de suite critiquer surtout si on n'en dit pas du bien)
            - tu te focalises sur une partie uniquement, celle qui te plait et que tu veux pas qu'on touche et ce de manière quasi religieuse, en "oubliant" l'autre, on ne sait pas pourquoi. Ca montre encore une fois la façon dont les gens discutent non pas en fonction de critères objectifs (tu aurais dit "tu vas forcément remettre l'écosystème Linux et Apple", par exemple, mais non…) mais en fonction de ce qui te plait ou pas même si ce critère n'a rien à voir.

            Effectivement, il ne vaut mieux pas argumenter, ça montrerai trop cette façon de faire.

            (et le pire sans doute est que j'ai juste donné des exemples comme ça, sans aucune méchanceté, d'ailleurs il n'y en avait pas non plus dans le journal auquel tu penses, juste des exemples d'actualité et rien de plus, et bam attaque personnelle parce que j'ai le malheur de ne pas dire que du bien à fond d'un truc qui plait à celui qui part dans les attaques personnelles)

            je me contenterai d'écrire que je ne pense pas qu'on puisse comparer la sécurité physique immédiate des personnes avec la sécurité des données.

            Des données, c'est parfois des vies (penser par exemple à la sécurité d'accès à des documents qui liste des indics), mais sinon je constate juste que c'est hyper léger quand il s'agit "juste" de données, donc ça ne me surprend pas que ce soit "seulement" léger pour de la sécurité physique immédiate, et j'ai même écrit la raison dans le commentaire auquel tu ne veux pas plutôt répondre, faire une attaque personnelle étant plus facile.

            • [^] # Re: HS parler c'est mal

              Posté par . Évalué à 2.

              Hum, au temps pour moi. Je n'avais pas traduit la « marque connue du grand public » par « Apple ».

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: HS parler c'est mal

                Posté par (page perso) . Évalué à -1.

                Moi trop subtil, c'est nouveau.

                Je serai bien curieux de savoir à quelle marque tu penses, parce que bon aucune, vraiment aucune marque autour de Linux est connue du grand public (ou on peut parler d'Android, mais ça m'étonnerai qu'il contienne GNUTLS donc marche pas), donc il y avait bien autre chose que Linux dans mon commentaire.

              • [^] # Re: HS parler c'est mal

                Posté par . Évalué à -1.

                Il a aussi parler de distros installes sur les serveurs et donc ta remarque etait valable. Il ne peut pas s'empecher de taper sur tout ce qui n'est pas Windows qui est on le sait tous tres tres bien securise et sans le moindre bug :)

                • [^] # Re: HS parler c'est mal

                  Posté par (page perso) . Évalué à 1. Dernière modification le 06/03/14 à 17:45.

                  "Si tu n'es pas avec moi, tu es contre moi".
                  toujours aussi vrai.
                  "taper sur" n'est dans la tête que de ceux qui veulent un monde binaire "à fond et fanatique Linux, rien d'autre" contre le reste du monde pour se ne pas avoir à trop réfléchir sur les nuances et les personnes qui ne sont pas à fond dans la religion donnée.
                  Vu le nombre de Linux que j'utilise, ta façon de voire les gens pas à fond dans ta religion fait juste sourire.

                  (oui, je personnalise, vu qu'on balance des attaques personnelles qui sont en plus bien fausses, mais bon c'est un classique de la politique manipulatrice, rien de nouveau, vaut mieux en rigoler sinon on en pleurerai de telle manipulation)

          • [^] # Re: Et les statistiques ?

            Posté par (page perso) . Évalué à 6.

            Quelque soit le sujet tu vas forcément remettre l'écosystème Linux sur le tapis juste pour le critiquer, non ?

            Lorsqu’il parle « d’une des marques les plus connues », je ne pense pas qu’il fasse référence à une marque de l’écosystème Linux…

      • [^] # Re: Et les statistiques ?

        Posté par (page perso) . Évalué à 9.

        sur une voiture aucun logiciel ne doit normalement empêcher l’action mécanique du freinage

        C'est justement le principe de l'ABS.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Et les statistiques ?

          Posté par . Évalué à 1.

          Pas tout à fait. L'ABS est une assistance au freinage, et peut décider d'amplifier le freinage et de relacher l'assistance.
          Sans ABS la pédale de frein est très dure et il faut appuyer très fort mais la voiture freine quand même. Essais simple, moteur coupé appuie sur le frein puis relâche le frein à main, si ta voiture est garé dans une pente tu verra que les freins fonctionne.

          • [^] # Re: Et les statistiques ?

            Posté par (page perso) . Évalué à 6.

            Tu confonds l'aide au freinage (d'urgence) et l'ABS qui est un système qui empêche les roues de se bloquer en cas de freinage trop fort. L'ABS va donc relâcher la pression sur les freins (sur certains modèles, ça se sent avec la pédale de frein qui revient vers toi quand les roues se bloquent).

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Et les statistiques ?

              Posté par . Évalué à 3. Dernière modification le 06/03/14 à 13:52.

              sur certains modèles, ça se sent avec la pédale de frein qui revient vers toi quand les roues se bloquent).

              Pour moi c'est même inhérent à la techno (et les disques de freinage dégustent au passage).

            • [^] # Re: Et les statistiques ?

              Posté par (page perso) . Évalué à 0.

              Et que se passe-t-il si c'est le clavier qui se blo

          • [^] # Re: Et les statistiques ?

            Posté par . Évalué à 4.

            L'ABS est une assistance au freinage, et peut décider d'amplifier le freinage

            ABS signifie « anti blocking system ». Rien que le nom exprime le contraire de ce que tu expliques.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: Et les statistiques ?

            Posté par (page perso) . Évalué à 4.

            Rien à voir c'est la dépression du mastervac qui apporte l'assistance.

            le moteur est à l'arrêt = pas de dépression = pas d'aide => 20 kg sur la pédale

            Système - Réseau - Sécurité Open Source

        • [^] # Re: Et les statistiques ?

          Posté par . Évalué à -3.

          non, L’ABS n’utilise aucun programme informatique, c'est un système électromécanique. De plus, comme dit juste au dessus même si il est défaillant il n’empêche absolument pas le liquide de frein d'arriver et d'enclencher le freinage.

          • [^] # Re: Et les statistiques ?

            Posté par . Évalué à 4.

            Oui, mais s'il décide de relacher la pression car il détecte (ou crois détecter) qu'il y a une perte d'adhérence, tu auras beau être debout sur la pédale, ça ne freinera que dalle.
            D'ailleurs c'était un problème sur les (certaines?) voitures avec l'ABS sans répartiteur électronique de freinage qui oui celui-ci était coupé sur les quatre roues quand il était détecté une perte d'adhérence sur une seule.

            En 2014, c'est beaucoup plus compliqué, car l'ABS a un répartiteur d'effort sur les quatre roues, est couplé à l'AFU, est couplé au régulateur de vitesse quand il y a un, etc. sans que visiblement personne ne se soit réellement posé la question des implications niveau safety.

            • [^] # Re: Et les statistiques ?

              Posté par . Évalué à -1.

              je n'ai jamais dis qu'un problème mécanique ne pouvais pas arriver sur une voiture.
              si il y a un défaut de L’ABS, c'est problématique mais ce qui est sûr c'est qu'il n'y aura pas de ligne de code en jeu dans ce problème

              le régulateur de vitesse sert à réguler la vitesse, c'est comme si ton pied était posé sur l’accélérateur sans bouger. il n'est pas lié au système de frein. lorsque tu appuie sur le frein le régulateur est mécaniquement coupé. le fait que le régulateur soit en marche ou non n'influence pas le freinage

              • [^] # Commentaire supprimé

                Posté par . Évalué à 5. Dernière modification le 11/03/14 à 10:15.

                Ce commentaire a été supprimé par l'équipe de modération.

                • [^] # Re: Et les statistiques ?

                  Posté par . Évalué à 1.

                  Mécaniquement, ca n'a aucun sens pour une injection électronique
                  electro-mécaniquement si tu préfère, mais pas logiciel

                  Carrément pas, non. Car ca sous entendrait que dans une côte la voiture ralentit, ce qui n'est pas le cas (sauf si c'est trop pentu, hein). Le position du pied sur la pédale ne donne pas une vitesse mais l'équivalent virtuel d'une certaine ouverture du papillon d'admission (d'air ou d'essence?) des carbus de la grande époque.

                  effectivement, pour les côtes c'est plutôt comme si on accélérait…
                  mais ce que je veux dire: le limiteur de vitesse peut utilisé un logiciel pour réguler la vitesse mais à partir du moment ou tu freine, il est "electro-mécaniquement" désactivé. Si ce n'est pas le cas, c'est le composant electro-mécanique qui'il faut remettre en cause, le logiciel ne rentre plus en ligne de compte dans cette situation sécuritaire. De ce fait, le programme de régulation de la vitesse de la voiture n'est pas considéré comme sécuritaire et peut être développé comme tout autre logiciel dans l'industrie. C'est la seule bonne logique à suivre.

                  si le problème décrit dans ce journal c'est vraiment produit, l'erreur ne provient pas de la qualité d'un code source mais d'un grave problème de conception de la sécurité globale de la voiture.

                  pour résumé: (c'est un exemple qui concerne le régulateur)

                  bonne conception : j'utilise le régulateur de vitesse=> le logiciel du régulateur calcule l'accélération du moteur => je vois un bouchon devant moi => j'appuie sur la pédale de frein => le régulateur est électro-mécaniquement désactivé (le logiciel ne peut plus intervenir sur le comportement de la voiture) => la pédale de frein envoie le liquide de frein => la voiture freine

                  mauvaise conception : j'utilise le régulateur de vitesse=> le logiciel du régulateur calcule l'accélération du moteur => je vois un bouchon devant moi => j'appuie sur la pédale de frein => la pédale de frein envoie une information au régulateur de vitesse => le régulateur envoie le liquide de frein => la voiture freine (peu-être)

                  voilà comment je vois les choses…

                  • [^] # Re: Et les statistiques ?

                    Posté par . Évalué à 3.

                    il est "electro-mécaniquement" désactivé. […] voilà comment je vois les choses…

                    Moi je te dis qu'aujourd'hui, dans la vraie vie, c'est le régulateur de vitesse qui se désactive de manière complètement soft et coopérative lui-même. L'information vient d'un contacteur sous la pédale de frein qui génère une signal qui indique au régulateur qu'il doit le faire.
                    Il n'y a aucun mécanisme de coupage de régulateur autre que l'admission d'essence elle-même dans le moteur et qui est gérée par le calculateur et personne d'autre.

                    • [^] # Re: Et les statistiques ?

                      Posté par . Évalué à 1.

                      voici la réponse de Renault suite à la rumeur de problème de régulateur de vitesse:

                      "Le régulateur de vitesse ne peut pas empêcher le freinage, lequel conserve, selon la législation en vigueur, un lien physique entre la pédale et les étriers. Le freinage reste donc toujours actif avec une puissance est deux fois supérieure à celle du moteur. Ce qui signifie que même dans l'hypothèse d'un régulateur bloqué, il est toujours possible d’arrêter la voiture en freinant vigoureusement."

                      dans ce cas le logiciel du régulateur peut avoir autant de bugs qu'il veut, la voiture freine quand même
                      c'est une bonne conception de la sécurité.

                      si Toyota ne respecte pas le lien physique entre la pédale/étriers et volant/direction, la voiture ne peut être commercialisée en Europe et aux états-unis(au moins)
                      c'est pour ça que je suis dubitatif sur le fait qu'un problème logiciel empêche la voiture de freiner, il y a forcément eu un problème mécanique

                      • [^] # Re: Et les statistiques ?

                        Posté par (page perso) . Évalué à 3.

                        Même avec un lien physique, si l'ABS repousse ton pied quand tu freine, ça ne va pas être pratique. À moins d'être en ligne droite et d'avoir 100km devant soit pour bien se mettre correctement et contrecarrer la force de l'ABS, ça ne sert pas à grand chose.

                        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                        • [^] # Re: Et les statistiques ?

                          Posté par . Évalué à -1.

                          l'ABS n'est pas lié au régulateur de vitesse, c'est un système electro-mécanique indépendant qui ne contient pas de code source.
                          l'ABS peut être défaillant, je ne dis pas que toute les voitures sont sûres et qu'il n'y a jamais eu d'accident pour cause mécanique.

                      • [^] # Commentaire supprimé

                        Posté par . Évalué à 6. Dernière modification le 11/03/14 à 10:16.

                        Ce commentaire a été supprimé par l'équipe de modération.

                • [^] # Modération

                  Posté par (page perso) . Évalué à 3.

                  Ce commentaire et trois suivant du même auteur ont été retirés à sa demande.

      • [^] # Commentaire supprimé

        Posté par . Évalué à 7. Dernière modification le 11/03/14 à 10:16.

        Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: Et les statistiques ?

          Posté par . Évalué à -4.

          Donc tu ne travailles pas dans le domaine, mais tu supputes par analogie que ça devrait être le cas. > > Rappelle moi quelles sont les normes de safety qui s'appliquent à la conception électronique des > voitures ?
          non je ne travail pas dans le domaine automobile, j'ai quand même un avis comme la majorité des personnes ici.

          Qu'en sais-tu ? Sachant que si le système ABS décide de ne pas freiner, quoi que tu fasses il ne le > > fera pas, puis qu'il a le moyen physique et mécanique de ne pas le faire ?
          à aucun moment un ABS peut décider "de ne pas freiner", c'est un système électromécanique qui même défaillant n'empêche jamais l'action mécanique du freinage.

          Pourtant c'est ce qu'il semble d'après l'expertise qui a été menée et présentée au tribunal.
          parfois entre ce que dis une personne et ce qui est rapporté, il y a une différence

          j'ai pas mal discuté avec des ingénieurs logiciel automobile, il m'ont expliqué que dans leur domaine aucun logiciel n'est considéré comme sécuritaire: dans une voiture la sécurité est assurée mécaniquement. ils travaillent selon les méthodes classiques de l’industrie, dans le sens ou si il y a un bug ça ne remet pas en cause l'intégrité des personnes à l'intérieur du véhicule.

          je suis très souvent étonné du manque de compréhension de ce qu'est un développement sécuritaire de la part d'informaticien

    • [^] # Re: Et les statistiques ?

      Posté par (page perso) . Évalué à 2.

      C'est pas faux.

      Love – bépo

    • [^] # Re: Et les statistiques ?

      Posté par (page perso) . Évalué à 3.

      Ou alors, vu le coût pour faire un procès et embaucher des gens pour passer en revue le code de Toyota, peu de personnes ont osé l'ouvrir…

      Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # OS pour bagnoles

    Posté par (page perso) . Évalué à 4.

    Je sais pas si vous avez noté cette info

    Ford abandonne Microsoft pour QNX pour ses voitures
    http://www.pcinpact.com/news/86198-ford-abandonnerait-windows-pour-qnx-dans-ses-vehicules-connectes.htm

    The IoT industry needs an ID standard. Let’s name it id-IoT

    • [^] # Re: OS pour bagnoles

      Posté par . Évalué à 4.

      C'est pour la parti non sécuritaire. QNX est l'OS de blackberry maintenant. (bel OS d'ailleurs, un joli unix temp réel solide)

      "La première sécurité est la liberté"

      • [^] # Re: OS pour bagnoles

        Posté par (page perso) . Évalué à 2.

        et cette autre (non je n'ai pas d'actions de ce site)
        http://www.pcinpact.com/news/86245-apple-officialise-carplay-controle-simplifie-dios-et-nombreux-partenaires.htm

        The IoT industry needs an ID standard. Let’s name it id-IoT

        • [^] # Re: OS pour bagnoles

          Posté par (page perso) . Évalué à 3.

          En parlant d'OS pour les voitures, je n'ai pas réussi à trouver quel OS tournait sur cette Toyota.

          Sur la mienne (une citroën), c'est du Wind River (d'ailleurs c'est le même OS qui équipe les téléphones à mon boulot, du Alcatel, eh non ils n'ont pas mis du Plan 9). J'ose espérer que ce qui contrôle les éléments vitaux ce n'est pas la même chose que ce qui équipe l'autoradio, parce que ce n'est pas rare que celui-ci reboote sans raison pendant qu'on écoute de la musique. D'ailleurs peut-être que windriver c'est juste pour la partie gps autoradio ordinateur de bord, et que le reste est contrôlé autrement.

          « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

  • # Jean Bookout

    Posté par . Évalué à 2.

    Barbara Schwarz perd le contrôle de sa voiture

    D'après l'article cité, c'est Jean Bookout qui était au volant (et d'ailleurs c'est une femme et pas un homme) : « Jean Bookout and her friend and passenger Barbara Schwarz ».

  • # debrayage

    Posté par . Évalué à 9.

    Ce que je trouve fou c'est que dans ces voitures (surtout les automatiques) il n'y a rien de prévu (mécanique) en cas de défaillance du logiciel.

    En effet sur les voiture automatique moderne :
    - on ne peut pas tourner la clef quand une vitesse est engagé
    - on ne peut pas débrayer (pas de pédale)
    - l'accélérateur n'est pas cablé en direct mais relié à un ordinateur gérant la boite de vitesse/accél moteur
    - le frein non plus ne doit plus être en direct avec les histoire d'abs.

    Sur une voiture à vitesse manuelle on peut espérer que l'embrayage soit encore relié en direct.

    Sur les anciennes voitures ou tout était câblé en direct :
    - le frein lâche : on peut toujours rétrograder
    - l'embrayage lâche : on peut freiner
    - l'accélérateur se coince : on peut freiner/débrayer/couper le contact

    Par exemple dans le cas de la direction assisté, le volant continue d'être relié en direct avec la direction. En cas de défaillance, le conducteur a toujours le contrôle du véhicule (avec une direction plus dure). Je sais pas si c'est toujours le cas aujourd'hui.

    Je pense qu'on ne sera jamais capable d'écrire du logiciel 100% bug free et qui faut avoir des moyen pour prendre le contrôle du véhicule de manière mécanique.

    • [^] # Re: debrayage

      Posté par . Évalué à 2.

      On le fait très bien sur un avion, qui est bien plus complexe qu'une voiture. Donc on peut le faire. D'ailleurs, se passer de mécanique à rendu les avions plus sûr. Si les voitures ont des problèmes, c'est que c'est fait un peu n'importe comment (et qu'en cas de problème, on stop le véhicule, c'est moins simple en avion).

      "La première sécurité est la liberté"

      • [^] # Re: debrayage

        Posté par . Évalué à -2.

        D'ailleurs, se passer de mécanique à rendu les avions plus sûr.

        Tu veux parler des simulateurs là, non?
        Remarque que sans moteur, sans ailes ni rien, c'est plus sûr: ça vole pas…

        • [^] # Re: debrayage

          Posté par . Évalué à 1.

          Je veux parler des câbles et des gouvernes, et de la gestion du moteur.

          "La première sécurité est la liberté"

      • [^] # Re: debrayage

        Posté par (page perso) . Évalué à 3.

        Vu les dimensions des ailerons et des gouvernes, heureusement qu'il y a une assistance et/ou un relai par des vérins hydrauliques…

        • [^] # Re: debrayage

          Posté par . Évalué à 8.

          je vois pas pourquoi, les pilotes n'ont qu'a se mettre à la muscu, au moins les gringalets qui essayent de détourner les avions auraient quelque difficulté supplémentaire ;)

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: debrayage

        Posté par . Évalué à 2.

        On le fait très bien sur un avion, qui est bien plus complexe qu'une voiture.

        C'est pas non plus les même condition d'utilisation. Déjà dans un avion tu es dans le ciel tu as plein d'espace, en théorie plus de temps pour réagir.
        Ensuite il me semble qu'ils ont pas mal de solution de secours prévu.

    • [^] # Re: debrayage

      Posté par . Évalué à 10.

      Évidemment ce serait mieux si on gardait un bon vieux contrôle mécanique sur tout, mais tu tirailles les constructeurs dans des directions opposées:
      -Il faut réduire la consommation, donc alléger la voiture, donc virer des trucs dedans
      -Il faut améliorer la sécurité, ce qui implique ABS, ESP et autres. Donc tu vas presque être forcé d'avoir à la fois un système électronique et un système mécanique qui feront la même chose.

      Puisque la réglementation t'oblige à ajouter le pilotage électronique pour la sécurité active, autant virer la partie mécanique, qui allégera considérablement la voiture, réduira les coûts, permettra un plus grand confort de conduite, et une plus grande flexibilité dans le design.

      Par exemple dans le cas de la direction assisté, le volant continue d'être relié en direct avec la direction. En cas de défaillance, le conducteur a toujours le contrôle du véhicule (avec une direction plus dure). Je sais pas si c'est toujours le cas aujourd'hui.

      On va doucement mais sûrement vers des voitures qui se conduisent toutes seules. Entre deux, de plus en plus de choses vont être contrôlées par l'électronique. Le conducteur ne sera plus celui qui contrôle mais celui qui donne des ordres, et les commandes ne seront plus des liaisons mécaniques mais des interfaces avec un système qui assurera le vrai pilotage.

      Je pense qu'on ne sera jamais capable d'écrire du logiciel 100% bug free et qui faut avoir des moyen pour prendre le contrôle du véhicule de manière mécanique.

      La question, c'est est-ce que ces bugs coûtent/coûteront plus de vie que le système qui les a amenés n'en sauvera?
      Est-ce qu'on peut accorder plus de confiance au conducteur ou à la machine pour sa sécurité?

      On associe souvent la sécurité en voiture à notre propre contrôle et on repose sur ses capacités de conducteur. La voiture est censée au mieux nous aider, pas prendre notre place, ce n'est pas rassurant. Il n'empêche qu'en dehors des phobiques, on ne ressent pas de crainte dans le métro, le train ou l'avion, pourtant rien n'y est sous notre contrôle!

      • [^] # Re: debrayage

        Posté par (page perso) . Évalué à 4.

        Et justement, il y a une corrélation entre la prise de contrôles des moyens de transports par les machines et la baisse de la mortalité de ceux-ci. L'être humain est bien plus faillible que la machine, surtout si la machine qui prend le contrôle a été écrit correctement avec des logiciels d'assistances de preuves comme dans les métros ou avions.

        • [^] # Re: debrayage

          Posté par . Évalué à 6.

          Prenons l'exemple de la voiture completement automatise de Google. Elle a eu un accident. Naturellement, les personnes impliques ont tente de crier au scandale, que c'etait la faute de la machine, que c'etait hyper dangereux… en oubliant un tout petit petit detail: la voiture enregistre TOUT ce qui se passait et donc il a ete tres facile de prouver que la voiture en faute c'etait l'autre et encore une fois c'etait une erreur humaine.

          Ici c'est un cas particulier qui doit servir de lecon et faire en sorte que les codes controllant nos voitures soient nettement plus verifie et vu qu'il est tout de meme question de securite public ces codes devrait etre opensource et il serait logique que les constructeurs s'allient tous pour faire en sorte d'ameliorer la qualite des ces logiciels. Leur corps de metier c'est de vendre des voiture et donc il n'y a vraiment aucune raison que ces codes restent confidentiel au contraire.

          • [^] # Re: debrayage

            Posté par (page perso) . Évalué à 5.

            Pour eux c'est pourtant vital. Celui qui fera la meilleure IA de conduite et de contrôle de la voiture aura un avantage compétitif incroyable.

            D'autant que si l'IA est meilleure, elle pourra proposer des options à forte valeur ajoutée pour le confort et l'usage de la voiture et prendra de l'avance sur la concurrence.

            Si tout le monde produit la même IA, ce qui serait en soit une bonne chose, la différence entre les modèles se fera sur les matériaux, le design, le confort et quelques options hauts de gamme. Ce qui est assez faible au regard de la différence entre les voitures aujourd'hui.

            • [^] # Re: debrayage

              Posté par . Évalué à 2.

              Je suis pas sur que le code dont on parle ici pourrait etre utilise dans un IA quelconque… donc l'avantage la il part legerement en fume.

          • [^] # Re: debrayage

            Posté par . Évalué à 3.

            il n'y a vraiment aucune raison que ces codes restent confidentiel au contraire.

            Au contraire, être le premier à mettre au point un système antipatinage, de freinage plus performant que la concurrence pourra mettre ça en avant dans autoplus et (surtout pour l’antipatinage au démarrage) et ça permet au kéké de faire le con quand le feu passe au vert.

            Tout comme les systèmes empêchant le sur/sous-virage ou de ceux de tenue de route.

            Oui ce serait bien mieux si les constructeurs finançaient ensemble un système pour la sécurité, mais il faudrait qu'ils normalisent leur système, nombre de capteurs, type de capteur, comportements des capteurs…

            Bref il y a énormément de paramètres et les avancées de chaque constructeur est jalousement gardé afin d'avoir un argument marketing.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: debrayage

              Posté par . Évalué à 2.

              Il y a une tendance à la standardisation dans l'industrie. L'idée est d'avoir des calculateurs "standardisés" pour avoir des cots pas cher, et interchangeable.

              Cela s'appelle Autosar dans l'automobile, IMA dans l'aéronautique. Cela introduit des façon de décrire des interfaces, des liens, des fonctionnalités. Cela facilite le changement de hardware et le partage de hardware entre application.

              J'imagine qu'à terme, ils veulent faire du logiciel comme google dans ses datacenter : le logiciel est très découplé de la machine physique qui l’exécute. Cela permet de résister facilement à toutes pannes hardware.

              "La première sécurité est la liberté"

            • [^] # Re: debrayage

              Posté par . Évalué à 2.

              Et comme les constructeurs, en tout cas c'est ce que toyota a fait, a menti sur le code utilise meme en legiferant ca va pas etre simple sauf a les exploser a coup d'amende monstrueuse voir a interdire la vente de voiture pendant 2 ans dans le pays ou ils donne pas le bon code ou un truc qui va les calmer.

              • [^] # Re: debrayage

                Posté par (page perso) . Évalué à 3.

                Ça ne les calmera pas, et le jour où ils se feront prendre, ils feront faillite et un autre les remplacera avec la même procédure (jusqu'à ce qu'il se fasse prendre, et ainsi de suite).

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: debrayage

                Posté par . Évalué à 2.

                La voiture est homologué par les mines, en France. C'est assez facile de rendre obligatoire un audit des logiciels embarqués, comme pour l'aéronautique, le nucléaire, le ferroviaire…

                "La première sécurité est la liberté"

                • [^] # Re: debrayage

                  Posté par . Évalué à 2.

                  Sauf que ici c'etait la meme chose avec la NASA qui devait homologue le logiciel et il semblerait que ce n'etait pas vraiment le code utilise…

                  • [^] # Re: debrayage

                    Posté par . Évalué à 2.

                    Non, la NASA a juste fait de la vérification (v&v). Il n'y a rien de contraignant.

                    "La première sécurité est la liberté"

                    • [^] # Re: debrayage

                      Posté par . Évalué à 2.

                      malgre tout Toyota n'avait pas donne le bon code.

          • [^] # Re: debrayage

            Posté par (page perso) . Évalué à 1. Dernière modification le 06/03/14 à 17:17.

            en oubliant un tout petit petit detail: la voiture enregistre TOUT ce qui se passait et donc il a ete tres facile de prouver que la voiture en faute c'etait l'autre et encore une fois c'etait une erreur humaine.

            Ce qui est surprenant aussi c'est que dans le cas de Toyota il n'y avait pas ce gene de "boite noire" sur un processeur indépendant.
            Car humain ou machine, dans les deux cas on peut tout enregistrer (d'ailleurs, on le fait bien pour les avions).
            Bref, surtout une question de volonté (et de coût)

      • [^] # Re: debrayage

        Posté par . Évalué à 1.

        A mon niveau, c'est à dire les 2 pieds bien au sol, je me dis que dans l'industrie on a prévu un truc en cas de pépin: l'arrêt d'urgence. Et pourquoi pas dans une voiture? Si ça tourne pas rond, paf, je te coupe le moteur et toutes les assistances, et je reviens en mode "safe" (enfin, plus "safe" que le mode voiture folle) pour le conducteur, si on a gardé les liaisons mécaniques directes sur direction et freinage oeuf corse.

      • [^] # Re: debrayage

        Posté par . Évalué à 1.

        on ne ressent pas de crainte dans le métro, le train ou l'avion, pourtant rien n'y est sous notre contrôle!
        Mais il y a encore des humains derrière. Même pour le métro automatique il y a un poste de contrôle qui peut couper le courant si un métro devient fou.

        Laisser sa vie entre du logiciel (surtout quand on voit comment c'est fait) sans aucun contrôle ça parait suicidaire.

        • [^] # Re: debrayage

          Posté par (page perso) . Évalué à 6. Dernière modification le 06/03/14 à 19:13.

          Je préfère largement laisser ma vie à un tel logiciel de Toyota qui a eu quelques loupés mais dont pas foule n'arrive à démontrer que ça a cause une tonne d'accidents malgré le nombre de voitures que Toyota vend tous les jours qu'à bon nombre d'être humains (rappel : plus de 10 morts rien que par jour et en France uniquement pour les voitures, je vous laisse faire un calcul par an et mondial, dont la majorité sont de la faute de l'humain, et pour la plupart où c'est la faute de l'humain d'en face).

          Tous les jours, les gens qui prennent leur voiture laissent leur vie entre les mains d'humains inconnus de manière plus risquée qu'avec plein de logiciels, et avec très très peu de contrôles (vous avez été contrôlé par les flics pour vôtre taux d'alcoolémie, par exemple, combien de fois dans vôtre vie?).

          bref, enlevons la partie émotion de l'histoire de Toyota si on veut comparer l'humain contre le "logiciel pourri", et on prendra peur de ce qu'on accepte juste parce qu'on pense sans vraiment vérifier qu'un humain est pas mauvais.

          • [^] # Re: debrayage

            Posté par (page perso) . Évalué à 2.

            (vous avez été contrôlé par les flics pour vôtre taux d'alcoolémie, par exemple, combien de fois dans vôtre vie?).

            L'adjectif possessif "votre" n'a pas d'accent, c'est le pronom possessif "le vôtre" qui en a un. Et la prononciation change en conséquence.

        • [^] # Re: debrayage

          Posté par . Évalué à 5. Dernière modification le 06/03/14 à 20:22.

          Je pense que tu ne réalises pas à quel point c'est déjà le cas aujourd'hui.

          Les pilotes qui volent avec une mauvaise visibilité, ils pilotent avec des instruments dont les indications sont envoyées par un logiciel.

          Le mec qui coupe le courant si le métro devient fou, il le sait comment que le métro devient fou? Et il a un interrupteur de haute puissance qui arrive jusqu'à son poste?

          Le blocage est essentiellement psychologique, reste qu'on voit beaucoup moins de Toyota qui ne freinent pas alors que le conducteur appuie sur la pédale que de Toyota dans le décor ou fracassées à cause du conducteur.

          Dans quelques années, je te parie qu'on lira la nouvelle génération s'inquiéter:
          "Laisser sa vie entre les mains d'un humain sans contrôle (surtout quand voit ce qu'ils font et/ou comment ils sont formés), ça parait suicidaire!"

      • [^] # Re: debrayage

        Posté par . Évalué à 2.

        Et de plus, je ne connais personne qui n'est jamais monté dans la voiture de quelqu'un d'autre. Donc l'argument « Je contrôle ma voiture » m'a toujours paru idiot, vu qu'en tant que passager on ne contrôle rien.

        bépo powered

        • [^] # Re: debrayage

          Posté par . Évalué à 4.

          Il n'y a même plus de frein à main pour faire l'idiot en passager.

  • # digression...

    Posté par . Évalué à 7.

    Avec ma Dacia le code source est facilement analysable, c'est pas du C mais plus du binaire :
    - 0 elle démarre pas,
    - 1 elle démarre… ;-)
    Côté variables, pas trop de pb non plus ! y'a bien le vent, mais ça dépend s'il souffle ds la direction où l'on va …
    Et j'me permettrais même de rajouter qu'en plus mon véhicule est GPL ! ! !
    (c'est même une GPL v2 je crois…celle avec la soupape de sécurité qui l’empêche d'exploser qd elle brule !!)

    • [^] # Re: digression...

      Posté par . Évalué à 2.

      Je ne peux qu'acquiescer, par contre on voit que le constructeur fait tout pour pousser vers le plus haut de gamme (au moins sur la logan), l’ergonomie tu tableau de bord est à chier, si le conducteur veut changer le réglage de la ventilation il est obligé de se contorsionner. Qui à eu l'idée de faire la courbe descendante de ce @!&@ de tableau de bord dans le mauvais sens ?

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.