アカウント名:
パスワード:
(急加速する)バグをソースから全て調査するなんて、できっこない。机上の空論。電気信号だけで急加速など問題ある動作をしないような、セーフティがあったかが問題なんじゃないの?あくまでソフトだけのせい?
今回の話だと、むしろ仕様や挙動そのものの妥当性の方を検証しなければならないのでは。
「仕様にバグが含まれるはずがない(キリッ)」なんてのは、ソフトウエアを作ったことがないプロマネの幻想です。
仕様通りがどうかはある程度見ているでしょうが、仕様が正しい、もしくは適切であるかどうかは別問題ですよ。具体例で申し上げれば1994年4月、名古屋空港での中華航空エアバスA300-600R墜落事故などはその一例です。
>仕様に基づいて入力信号を振って
不具合検証は、正しくない入力があった時に例外処理がきちんと行われるかも見ないと怖い。通信路(CANとか?)にノイズが乗って通信こけるとか、接続先がアーパーになって途絶しちゃうとか。ミッションクリティカルじゃない組込系だと相手が正常である前提で例外処理入れてなくて(ROM容量とかマンパワー的に入らないんだけど)、外来ノイズでコケても異常を検知しないからそのまま応答待ちに入って一旦パワーオフして初期化処理からやり直さないとダメなんて事例も。まぁ根本的にコケないような対策は入れるんだけど・・・
仕様書に「こういう条件ならブレーキの介入を排除してヨシ!」なんてロジックが入っているとは思えないので(あったらコワイ)、仕様書の通りに追っかけてもわからないとおもうなぁ。
数十年前に遭遇したトラブルでは、「その先の処理がぶっつり途切れている」条件にすっぽりハマった、ということがありましたけど、そういうのならあり得る?
>>不具合検証は、正しくない入力があった時に例外処理がきちんと行われるかも見ないと怖い。
ここですよね。いわゆる異常系のテストだとおもうんですけど、どういう前提で異常状態を作り出すか、それをどこから入力するのか、が問題な気がします。
#そもそもそこまでやる気がないんじゃね?と思ったり。
なにも受け入れテストをしてるわけじゃないのだから、技術資料なんてチェックしない。
「トヨタが検証をした内容を説明して、それが妥当と納得できれば無罪。さもなくば有罪」みたいな感じになるんじゃないかと。そして妥当かどうかを判断するためにも、ハードの技術者に加えてソフトウエア技術者も必要になるというだけ。
「アカウンタビリティー」ってそういうことなんでしょ。トヨタも大変だ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
ソフトエンジニアが必要? (スコア:0)
よくわからないのですが
ECUも部品として完成された装置なわけだから、仕様に基づいて入力信号を振って挙動を確認すれば
いいように思えるのだけど、
これはワザワザ、トヨタからソースコードもらってバグ解析しようとしているということかな。
もしかしてトヨタのレクサスは全部の制御をひとつのプロセッサで処理してて分離できていない?
Re:ソフトエンジニアが必要? (スコア:4, 参考になる)
(急加速する)バグをソースから全て調査するなんて、できっこない。机上の空論。
電気信号だけで急加速など問題ある動作をしないような、
セーフティがあったかが問題なんじゃないの?あくまでソフトだけのせい?
Re:ソフトエンジニアが必要? (スコア:2, おもしろおかしい)
今回の話だと、むしろ仕様や挙動そのものの妥当性の方を検証しなければならないのでは。
「仕様にバグが含まれるはずがない(キリッ)」なんてのは、
ソフトウエアを作ったことがないプロマネの幻想です。
仕様が適切と判断するのは誰? (スコア:1, 興味深い)
仕様通りがどうかはある程度見ているでしょうが、仕様が正しい、もしくは適切であるかどうかは
別問題ですよ。
具体例で申し上げれば1994年4月、名古屋空港での中華航空エアバスA300-600R墜落事故などは
その一例です。
Re: (スコア:0)
>仕様に基づいて入力信号を振って
不具合検証は、正しくない入力があった時に例外処理がきちんと行われるかも見ないと怖い。
通信路(CANとか?)にノイズが乗って通信こけるとか、接続先がアーパーになって途絶しちゃうとか。
ミッションクリティカルじゃない組込系だと相手が正常である前提で例外処理入れてなくて(ROM容量とかマンパワー的に入らないんだけど)、外来ノイズでコケても異常を検知しないからそのまま応答待ちに入って一旦パワーオフして初期化処理からやり直さないとダメなんて事例も。まぁ根本的にコケないような対策は入れるんだけど・・・
Re: (スコア:0)
仕様書に「こういう条件ならブレーキの介入を排除してヨシ!」
なんてロジックが入っているとは思えないので(あったらコワイ)、
仕様書の通りに追っかけてもわからないとおもうなぁ。
数十年前に遭遇したトラブルでは、「その先の処理がぶっつり途切れている」
条件にすっぽりハマった、ということがありましたけど、そういうのならあり得る?
>>不具合検証は、正しくない入力があった時に例外処理がきちんと行われるかも見ないと怖い。
ここですよね。いわゆる異常系のテストだとおもうんですけど、どういう前提で異常状態を
作り出すか、それをどこから入力するのか、が問題な気がします。
#そもそもそこまでやる気がないんじゃね?と思ったり。
Re: (スコア:0)
資料を検証するにしても、担当者は泣きが入ると思うな。
でも、不完全なままの車を売ったり、リコールしなかったりしたことが問題なわけだから、技術資料を見るのは時間と労力の無駄だと思う。技術資料を見たところで、トヨタとその下請けの技術者に対する同情しか出てこないと思う。
アメリカの自動車メーカーのヘッドハンティングが来たり、、、しないか。
Re: (スコア:0)
なにも受け入れテストをしてるわけじゃないのだから、技術資料なんてチェックしない。
「トヨタが検証をした内容を説明して、それが妥当と納得できれば無罪。さもなくば有罪」
みたいな感じになるんじゃないかと。そして妥当かどうかを判断するためにも、ハードの
技術者に加えてソフトウエア技術者も必要になるというだけ。
「アカウンタビリティー」ってそういうことなんでしょ。トヨタも大変だ。