新聞中心

EEPW首頁 > 模擬技術(shù) > 設(shè)計(jì)應(yīng)用 > 嵌入式系統(tǒng)工程師,小小軟件碼錯誤也能殺人!

嵌入式系統(tǒng)工程師,小小軟件碼錯誤也能殺人!

作者: 時間:2013-12-14 來源:網(wǎng)絡(luò) 收藏

不良軟件碼可能殺人嗎?答案是肯定的,而且悲劇顯然已經(jīng)發(fā)生。

  最近豐田汽車(Toyota Motor)在美國卷進(jìn)了一樁官司,原告律師指稱豐田一款2005年份Camry車款在2007年于美國奧克拉荷馬高速公路上發(fā)生的一場暴沖死亡車禍,主因就是該車款內(nèi)的電子節(jié)流閥控制系統(tǒng)軟體碼發(fā)生錯誤。

  據(jù)了解,在上述案件審訊過程中,檢視過豐田電子節(jié)流閥系統(tǒng)軟件碼的系統(tǒng)專家作證指出,他們發(fā)現(xiàn)到豐田系統(tǒng)軟件碼的缺陷,而其內(nèi)部的錯誤碼就是造成車輛無預(yù)警暴沖的原因。參與該事故調(diào)查的Barr Group技術(shù)長暨共同創(chuàng)辦人Michael Barr表示:“我們已經(jīng)證實(shí),只是一個小小的記憶體位元翻轉(zhuǎn)(bit flip),就會造成駕駛?cè)藷o法控制引擎速度,而這種軟體故障是無法依賴任何一種故障安全(fail-safe)機(jī)制偵測出來?!?/P>

  其實(shí)在這之前,不過豐田已經(jīng)自認(rèn)無罪──因?yàn)槊绹鴩腋咚俟方煌ò踩郑∟HTSA)在 2011年2月結(jié)束了對豐田汽車的調(diào)查,該單位委託NASA的專家檢視豐田的電子節(jié)流閥系統(tǒng),在為期10個月的調(diào)查期間,并沒有發(fā)現(xiàn)任何電子缺陷可能導(dǎo)致車輛暴沖。雖然NASA報(bào)告并沒有排除軟體導(dǎo)致車輛無預(yù)警加速暴沖的可能性,但系統(tǒng)專家們并不認(rèn)為NASA有足夠時間進(jìn)行完整的測試。

嵌入式系統(tǒng)工程師,小小軟件碼錯誤也能殺人!

  于是包括Barr Group四位專家在內(nèi)的一個七人小組接手NASA的調(diào)查任務(wù),深入分析了發(fā)生事故的豐田汽車,并做成了一份長達(dá)800頁的調(diào)查報(bào)告?!拔覀冏隽艘恍?NASA顯然沒有時間做的事情?!盉arr表示,首先就是檢視車用系統(tǒng)的即時作業(yè)系統(tǒng),找出“未受保護(hù)的關(guān)鍵變量(unprotected critical variables)”,他們觀察且檢視了“子處理器(sub-CPU)”的軟件原始碼,而且“發(fā)現(xiàn)了電子節(jié)流閥故障安全機(jī)制中的漏洞與缺陷”。

  該專家小組并采用Green Hills模擬器進(jìn)行了模擬:“這進(jìn)一步確認(rèn)某些動作會在看門狗未重新設(shè)定處理器的情形下失效。”Barr的小組也獨(dú)立檢查了在最壞情況下的堆疊深度 (worst-case stack depth):“我們發(fā)現(xiàn)NASA調(diào)查所依據(jù)的豐田分析報(bào)告有很多嚴(yán)重錯誤?!彼赋?,專家們證實(shí):“透過車輛測試,那些我們所發(fā)現(xiàn)的缺陷確實(shí)與無預(yù)警暴沖有關(guān);我們還觀察檢視了汽車黑盒子內(nèi)的軟體碼,發(fā)現(xiàn)它會錯誤記錄車輛意外前最后幾秒的駕駛?cè)藙幼髻Y訊?!?/P>

  值得一提的是,Barr Group的證詞,在去年12月讓豐田面臨數(shù)十億美元損失的和解案;因?yàn)樵摵徒獍?,專家們所做的詳?xì)技術(shù)性調(diào)查并沒有被公開,直到奧克拉荷馬事故審訊進(jìn)行。該和解案雖平息了數(shù)百起豐田宣布因?yàn)檐囕v暴沖而召回檢修所導(dǎo)致的車輛折價訴訟,該公司仍須面對數(shù)起因?yàn)檐囕v故障所導(dǎo)致的人員受傷或死亡官司。

  因?yàn)閵W克拉荷馬高速公路事故審訊,專家證詞與發(fā)現(xiàn)得以公開;到底豐田的電子節(jié)流閥控制系統(tǒng)出現(xiàn)了甚么樣的缺陷?

  Barr 表示,專家針對2005年份的Camry L4車款原始碼以及車內(nèi)測試,證實(shí)其中有部分關(guān)鍵變量并未受軟體崩潰(corruption)保護(hù),記憶體崩潰的塬始碼也顯現(xiàn);他相信豐田的工程師應(yīng)該會保護(hù)大量的變量抵抗軟體與硬體導(dǎo)致的崩潰,但卻未能成功映射(mirror)數(shù)個關(guān)鍵變量,也沒有建立任何可以抵抗位元翻轉(zhuǎn)的硬體保護(hù)機(jī)制。他指出,堆疊溢位(Stack overflow)與軟體錯誤導(dǎo)致記憶體崩潰,而問題的關(guān)鍵就在于那些記憶體崩潰,就像是“擦槍走火”。

  “就算小至一個位元翻轉(zhuǎn)的記憶體崩潰,也能導(dǎo)致程式(task)當(dāng)機(jī);只要藉由單一硬體事件的擾亂(例如位元翻轉(zhuǎn)),或是眾多軟體錯誤中的一個就能發(fā)生,例如我們在軟體碼中看到的緩衝區(qū)溢位(buffer overflow)以及競態(tài)條件(race condition)?!盉arr表示:“未經(jīng)測試的任務(wù)失敗可能有上千萬種組合,每一種都可能在任何一種車輛/軟體狀態(tài)下發(fā)生,它們多到來不及測試?!?/P>

  不過Barr指出:“我們在2005年與2008年份Camry車款所做的測試顯示,甚至就是某個當(dāng)機(jī)程式的本身,都可能造成駕駛失去對節(jié)流閥控制系統(tǒng)的控制權(quán)──而此時內(nèi)燃機(jī)仍持續(xù)作動引擎。簡而言之,豐田確實(shí)安裝了故障安全機(jī)制,但其中有漏洞,也無法以UA透過軟體的所有方式來進(jìn)行檢測。”

  在此特別說明,以上所說的“程式”與智慧型手機(jī)或PC上執(zhí)行的應(yīng)用程式是一樣的,當(dāng)軟體偶爾出現(xiàn)當(dāng)機(jī)狀況,我們通常會重新開機(jī);而2005年份的Camry L4有安裝一系列程式,但因?yàn)檫@些程式都意味著永遠(yuǎn)執(zhí)行,其中一項(xiàng)若當(dāng)機(jī)就可能造成恐怖的后果。

linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解(linux不再難懂)

上一頁 1 2 下一頁

關(guān)鍵詞: 嵌入式 系統(tǒng)工程師

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉