기본 콘텐츠로 건너뛰기

캠리(CAMRY) 토요타 자동차 급발진 사고의 기술적 근거. 한국도 동일?

이미지
작성자:
2013년 10월 24일 토요타 자동차의 급발진 사망사고를 둘러싼 미국 오클라호마주의 공판에 제출한 내용이 의미심장하여 공유 해 봅니다. 


한국에서 일어나는 급발진 사고는 모두 ECR(Electronic Crash Recoder)의 분석만을 의존하고 게다가 ECR은 서드파티 제품이 아닌 자동차 제조사에서 달아야만 해서 분석 데이터가 명확하지 않습니다. 당연히 제조사에 불리한 정보는 넣지 않겠지요. 

이번 공판에서는 Barr Group의 CTO인 Michael Barr씨가 분석한 자료를 증거로 내놨습니다. 
실제 토요타 ETCS(전자제어 쓰로틀 시스템)의 소스코드 분석 결과입니다. 





  • 데이터 미러링을 하지 않아 스택오버플로우가 발생할 경우 대처할 수 없다. 
  • 메모리를 41%만 쓴다고 발표했지만 실제로는 94%의 메모리를 사용하기 때문에 언제든 스텍오버플로우 가능성이 있다. 
  • MISRA-C 위반 재귀 코드가 발견되었다. 
    • MISRA-C : Motor Industry Software Reliability Association에서 규정한 C코드의 정합성을 판단하는 테스트 규약
  • RTOS 내부 구조 및 쓰로틀 각도변수 미러링이 불완전하다.(안하는 것보다 못함?) 
    • RTOS : Real Time Operating System
  • 포인터를 사용한 콜 및 라이브러리 변수 약 350개를 태스크 전환시 RTOS를 사용하지 않았다. 이 떄 Runtime Task Montoring을 실행하지 않았다.(엑셀을 밟는 등 전자 제어적 명령을 모니터링 안하고 그냥 처리.. 문제가 생기면 나몰라?)
  • 자동차 업계 표준 규격인 RTOS API의 OSEK버전을 채택하였으나, CPU벤더에서 공급된 OSEK버전이 인증 규격이랑 다르다. 
  • RTOS태스크가 의도치 않은 오류로 셧다운 되었을 때의 현상에서는 UA(Unintended Acceleration, 급가속/급발진) 가 발생할 가능성이 높다. (윈도우의 블루스크린 같은 아무것도 못하는 상황에 스로틀을 전개방으로 OS가 먹통된다고?)
  • 메모리상의 싱글비트에 의해 태스크가 제어되기 때문에 하드웨어 또는 소프트웨어의 결함에 의해 데이터가 파손된 경우 필요한 태스크가 일시정지 하거나 불필요한 태스크가 실행되어버릴 가능성이 있다. 
    • 요게 정상적이다가 갑자기 급가속 하는 원인일 가능성이 크군요.
  • 실제 차량 테스트를 했을 때 특정 데드태스크(Dead Task)에 의해 스로틀의 제어기능을 잃어버린 것이 나타남에 따라 UA가 발생한 경우에는 가속을 멈출 수 없다. 
    • 앱이 순간 종료 하는 것 같은 느낌인데, 이 경우 뭘해도 제어가 안되는 급발진 원인 중 하나 같습니다.
  • 스파게티 코드로 만들어져 글로벌 변수만 11000이 넘는다.
    • IT를 하면 누구나 보고 욕하는 것이지만 엄청난 전문가가 혼자서 계속 관리하면서 만들지 않는한 이전 사람이 만든 코드는 보기 귀찮으니 또만들고 비슷한거 만들어 호출하고 하는건 여전하네요.  
  • 67개 함수에 대해서는 테스트 불가. (스코어가 50이 넘으면 테스트 불가). 이 중에서 스로틀 각도 함수는 스코어가 100이 넘어서 점검불가 상태. 
    • 스로틀 밸브 제어 함수는 누가 점검을??
IT경험자가 본다면 납득할 거 같은 내용들 입니다.


소프트웨어 이외의 원인 가능성이 있는 내용

많은 급발진 사고 영상을 보면 굉음이 나는데 그게 스로틀밸브가 최대개방 된 경우 입니다. 즉, 스로틀밸브 각도 조절 오류 또는 태스크가 알 수 없는 오류로 종료된 경우 전개방이 된 상태가 되는 것이겠지요. 그 때 태스크는 오류로 종료 되었기 때문에 스로틀밸브 컨트롤 태스크가 새로 뜨지 않아 조절이 안되는 걸 꺼구요. 윈도우도 explorer종료시 전 어플리케이션이 전체 죽었다가 살아나는 경우를 볼 수 있는데, RTOS는 윈도우가 아니기 때문에 이미 죽은 태스크는 다시 안살리고 다른 태스크 마저도 죽어버리거나 하나 보네요. 

실제 한국의 자동차에서도 위 분석 결과에 의심스러운 내용들이 있지 않을까요?
저걸 분석해 줄 수 있는 전문가가 한국에 있다면 좋겠지만...

아래는 원문입니다.


추가로 전기 자동차는 동일한 ETCS에 스로틀 밸브의 각도 대신 모터에 공급하는 전류로만 바꾸지 않았을까...

그러고보니 문득 생각이 드는게 PC뿐만 아니라 휴대폰이니 ap등등 전자제어 장치는 모두 하드웨어 리셋 버튼이 있는데 왜 이 비싼 자동차는 하드웨어 리셋 버튼이 없을까요?

게임하다가 조금만 버벅거려도 환불하느니 하는 사람들 많은데..

당신은 지금 갑저기 앞으로만 달려가면서 컨트롤이 안되는 버그가 언제 일어날지 모르는 온라인 게임을 즐기고 있습니다.
과금은 당신 목숨과 수천만원의 돈이구요.
이런 게임이 있는데 한 번 해보실라우?


giip :: Control all Robots and Devices! Free inter-RPA orchestration tool! https://giipasp.azurewebsites.net/
라벨:

댓글

댓글 쓰기

이 블로그의 인기 게시물

Alter table 에서 modify 와 change 의 차이 :: SQL Server

작성자:
두 개의 차이를 모르는 경우가 많아서 정리합니다.  modify는 필드의 속성값을 바꿀때 사용하구요.. change는 필드명을 바꿀떄 사용합니다.  alter table tbbs modify bNote varchar(2000) NULL; alter table tbbs change bNoteOrg bNoteNew varchar(2000) NULL; change에는 원래 필드와 바꾸고 싶은 필드명을 넣어서 필드명을 바꾸는 것이죠~ 더 많은 SQL Server 팁을 보려면  https://github.com/LowyShin/KnowledgeBase/tree/master/wiki/SQL-Server giip :: Control all Robots and Devices! Free inter-RPA orchestration tool! https://giipasp.azurewebsites.net/
댓글 쓰기
자세한 내용 보기

책에서는 안 알려주는 대규모 트래픽을 위한 설계

작성자:
음성 버전 :  https://www.youtube.com/watch?v=ZZlW6diG_XM 대규모 트래픽을 커버하는 첫 페이지 만드는 법..  보통 DB를 연결할 때 대규모 설계는 어떻게 하시나요?  잘 만들었다는 전제 하에 동접 3000명 이하는  어떤 DBMS를 사용해도 문제 없이 돌아갑니다.  여기서 이미 터졌다면 이 콘텐츠를 보기 전에 DB의 기초부터 보셔야 합니다.  아.. 개발 코드가 터졌다구요? 그럼 개발자를 때리셔야지요..  만약 3000명을 넘겼다면? 이제 Write/Read를 분리해서  1 CRUD + n개의 READ Replica를 만들겠죠?  보통 Read Replica는 5개가 최대라고 보시면 됩니다.  누가 연구한 자료가 있었는데...  6번째 레플리카를 만든느 순간 마스터가 되는 서버의 효율 저하 때문에  5번째에서 6번쨰로 올릴때의 성능이 급격히 줄어든다는 연구 결과가 있습니다.  때문에 Azure에서도 replica설정할 때 5대까지 밖에 설정 못하게 되어 있지요.  유저의 행동 패턴에 따라 다르긴 하지만,  1 CRUD + 5 Read Replica의 경우 동접 15000명 정도는 커버 합니다.  즉, 동접 15000명 에서 다시 터져서 저를 부르는 경우가 많지요..  이 때부터는  회원 DB, 게시판DB, 서비스DB, 과금 DB 등등 으로 성격, 서로의 연관도에 따라 나누기 시작합니다.  물리적으로 DB가 나눠지면 Join을 못하거나 Linked Table또는 LinkDB등의 연결자를 이용해서 JOIN이 되기도 합니다.  그에 따라 성능 차이가 생기지만 가장 중요한 포인트는  서로 다른 물리적 테이블의 JOIN은 인덱스를 타지 않는다!  라는 것입니다. 즉, JOIN할 테이블들을 최소한으로 만든 뒤에 JOIN을 걸지 않으면 NoSQ...
댓글 쓰기
자세한 내용 보기

BI의 궁극판! Apache Drill을 써보자!

작성자:
사실 Apache Drill 은 BI(Business Intelligence)라고 부르는 것 보다는 단순 데이터 연결 엔진이다. https://drill.apache.org/ 하지만 내가 왜 극찬을 하느냐면.. DBA로서 항상 문제가 되어왔던게, 이기종 데이터의 변환이나 처리였다. 포맷을 맞추는데 엄청난 시간이 걸리고, 데이터 임포트 실패가 무수하게 나고.. 한 번 잘못 데이터를 추출하면 다시 조정, 변환, 추출하는데 시간이 많이 걸린다. 그런데! Apache Drill은 그냥 RDB를 CSV랑 연결해서 조인해서 통계를 낼 수 있다. 그것도 표준 SQL을 사용하여! 예를 들어, CSV의 세 번째 컬럼이 price 이고, 물건의 판매이력을 PG사에서 CSV로 출력 받았다. 우리 DB와의 검증을 위해서는 수동으로 Import를 한 뒤에 포맷이 안맞아 잘리는 데이터가 있다면 다시 맞춰주고, 재 임포트를 수십 번, 그리고 나서 겨우 들어간 데이터를 조인하여 빠진 데이터를 분간한다. 숫자가 적다면 개발자가 개발로 처리할 수도 있지만, 건수가 하루에 300만건 짜리라면.. 한 달 온 파일은 9천만 건이다. 프로그램으로 고작 처리하는 것이 초당 500건. 거의 20만초, 에러 없이 약 56시간.. 에러가 생기면 다시 56시간.. ㅠㅡㅠ 이런게 현실이기 때문에 쿼리 말고는 방법이 없다. apache drill 의 진면목을 보자! 이번에는 좀 범용 적인 MySQL DB와 붙여 보자. . 난 이번에는 Mac에서 작업을 했기 때문에 그냥 다운 받아서 풀었음.. https://drill.apache.org/download/ 여기서 자기 OS에 맞는 버전을 받아서 설치하시길.. 압축을 풀고 나면 MySQL 커넥터를 붙여야 한다. https://dev.mysql.com/downloads/connector/j/5.1.html 여기서 다운로드 이런 커넥터 들을 붙일 때마다 콘피그를 수정해 줘야 하지만, 몇 번만...
댓글 쓰기
자세한 내용 보기