To už se znovu nerozbije

V minulých dnech jsem se zase královsky pobavil. To když odborník na slovo vzatý, ministr dopravy Milan Šimonovský, komentoval závadu u (dnes již nechvalně proslulých) vlaků Pendolino. Věta ve smyslu "to už se po opravě znovu nerozbije, to je chyba v softwaru" mě prostě dostala. My softwaráři víme své...

Softwarové závady se narozdíl od těch hardwarových špatně hledají. Tedy alespoň tehdy, nejedná-li se o špatně naprogramované hradlové pole. "Železo" lze většinou nějak vyzkoušet, změřit apod., nezřídka se závada projeví i druhotnými vnějšími znaky (kouř, součást je na dva kusy atd.). Ne tak software - tam se každá chyba hledá obtížně. Přesto si mnoho lidí myslí, že software je něco báječně jednoduchého, co každý zvládne levou zadní (což je pravděpodobně jeden z důvodů, proč lidé nemají výčitky svědomí při pirátském používání programů).

Laik zejména obvykle nezná pojem zavlečená chyba. Neví tedy, že při opravě jedné zcela banální chybičky se mohou do programu dostat chyby mnohem většího kalibru - zejména po několika dnech a nocích strávených hledáním té drobné chyby. Takže ano, software se skutečně nerozbije (on se nerozbil ani předtím), ale vždycky v něm bude aspoň jedna chyba (to je známé pravidlo). Proto ani oprava oné chyby (či spíše více chyb) nezaručí, že Pendolina skutečně budou bezproblémově jezdit.

V souvislosti se závadou na Pendolinech si neodpustím ještě jedno rýpnutí: Které prase navrhovalo architekturu toho systému? Jak je možné, že při chybě přestane fungovat úplně všechno (kromě brzd, které se automaticky aktivují)? Když už celý vlak řídí jediný fyzický počítač (což není úplně nejštastnější), jak je možné, že není zajištěna úplná izolace jednotlivých subsystémů? Bohužel neznám detaily, ale pokud běží každý subsystém v jednom kontejneru, proč se musí vždy odstavit všechno? Nebo je chyba v hostitelském systému, který by měl být "rock-stable"? Nebo subsystémy skutečně nejsou dostatečně izolované? Nebo...

Otázek je mnoho, ale odpovědi se asi nedočkám. Do sofwarového oddělení Alstomu nevidím, zdrojové kódy k softwaru mi také asi neposkytnou (i když bych je docela rád viděl). Zbývá mi tedy jen útěcha, že České dráhy neprovozují leteckou dopravu a neobjednaly si letadla stejným způsobem, jako to učinily u Pendolin.

Komentáře

Pokud vim, systém vlak zastaví zcela úmyslně, aby nedošlo k ohrožení pasažérů. Chyba je, jestli se nepletu, v detekci překážek a problémů na trati, který tohle zastavení způsobujou.

20.1.2006 00:22 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Ale opravdu musí kvůli této chybě nebo jejímu řešení přestat fungovat osvětlení nebo topení? To podle mě v pořádku není.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 00:24 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

No to je otázka, jak to autoři zamejšleli, možná i to je úmyslný. Pokud se někde něco po*ere, jak zajistíte, že nevybouchnou všechny zářivky, nebo nezačnou z topení šlehat plameny? Jedině tak, že to vypnete.

20.1.2006 01:39 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

A proč by se něco takového mělo stát? Osvětlení a topení má jistě svoje vlastní napájení, oddělené od trakčního. Má vlastní akční členy, a jediné společné je ten řídicí počítač. Není důvod vypínat všechno.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 00:37 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

To je IMHO asi taková otázka, jako kdybyste se ptal, proč když dojde ke kernel panic, musí se jádro zahaltovat (nebo zrestartovat), když by stačilo odblokovat ten subsystém, kde byl problém detekován.

20.1.2006 01:03 paskma | skóre: 13 | blog: Paskmův blog
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Přesně. Aniž bych znal detaily, tak tuším, že je to navrženo na maximální bezpečnost pasažéřů, nikoli na "mission success". Prostě buď to jede zcela bez potíží a nebo to ochrání pasažéry odstávkou.

Poškození pasažérů je _mnohem_ větší ztráta, než finanční ztráty způsobené zahaltováním uprostřed polí :-)

20.1.2006 01:39 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Pokud je to takto navrženo, tak je to navrženo špatně. Pokud je systém způsobilý, aby vůbec řídil vlak, pak by nemělo být nutné sahat k takovým kompromisům. Jinak řečeno, pokud by funkce světel měla nějaký vliv na subsystémy přímo ovlivňující bezpečnost (tedy hlavně pohon + brzdy), nemá takový systém ve vlaku co pohledávat.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 11:05 thingwath_
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Prosimte, klidek :-)

Pocitac ktery sam vi a rozhoduje si jestli uz selhal dost na to aby s tim neco delal bych pouzivat nechtel.

20.1.2006 12:06 sofr
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Použití čárek mezi větami by výrazně zvýšilo čitelnost tvého příspěvku.

20.1.2006 14:35 VícNežNic | skóre: 42 | blog: Spáleniště | Ne dost daleko
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Vím, vím, ale někdy to není úplně jednoduché. Neříkám, že to nešlo, ale na dvě věty to šlo na můj vkus moc složitě.

Copak toho není dost?

20.1.2006 13:32 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Počítač to vědět nemá. To má vědět ten, kdo to navrhuje. A když používá skutečně kvalitní certifikovaný hostitelský systém, pak dění v jednotlivých kontejnerech opravdu nemá vliv na ten zbytek. Je to stejné, jako kdyby to byla naprosto nezávislá zařízení.

Když mám doma problém se zásuvkou, také kvůli tomu nevypnu světelný okruh. Tak si říkám, jaká pohroma by mohla být ta "digitální domácnost". Klekne třeba výtah, a jediné řešení bude restart znamenající vypnutí světel, televize, topení atd. Tedy pokud se použije stejné řešení jako u Pendolin...

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 14:24 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Když mám doma problém se zásuvkou, také kvůli tomu nevypnu světelný okruh.

Když je problém se zásuvkou, může se docela klidně stát (a také zcela běžně stává) že "vyletí" hlavní jistič, tedy i světelný okruh. Někdy dokonce celý dům.

Že by všichni elektrikáři za posledních 100 let byli pitomci?

Spíš je ošemetné se vyjadřovat o tom, jak to mají špatně oddělené když nevíme vcelku nic o tom co selhalo. Navíc údaje jsou rozporné a nejspíš se ve zprávách míchá několik poruch dohromady.

20.1.2006 14:37 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Když je problém se zásuvkou, může se docela klidně stát (a také zcela běžně stává) že "vyletí" hlavní jistič, tedy i světelný okruh. Někdy dokonce celý dům.

Mluvím o problému se zásuvkou (obecně), ne o zkratu. Pokud něco nefunguje, a je potřeba vypnout proud do té zásuvky, stačí vypnout příslušný okruh.

Jinak když už jsme u toho - záleží samozřejmě na požadavcích na nezávislost okruhů. Např. lékaři by měli určitě radost, kdyby jim během operace najednou zhaslo světlo jen proto, že vedle na sesterně rychlovarná konev vyzkratovala okruh. Tam se to musí řešit důsledně, včetně použití UPS atd.

Spíš je ošemetné se vyjadřovat o tom, jak to mají špatně oddělené když nevíme vcelku nic o tom co selhalo. Navíc údaje jsou rozporné a nejspíš se ve zprávách míchá několik poruch dohromady.

To je. Nedostatek informací vždy vyvolává spekulace. Vycházím z toho, co jsem se dozvěděl z médií, žádné zákulisní informace nemám. Nicméně do Pendolina mě hned tak někdo nedostane, ani kdyby jezdilo zadarmo.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 14:31 VícNežNic | skóre: 42 | blog: Spáleniště | Ne dost daleko
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Skutečně kvalitní certifikovaný hostitelský systém :-)

No nic.

Stát se může kdeco a ono je opravdu bezpečnější to při chybě i jediné součásti sestřelit raději všechno. A ať už to na tom počítači uděláme jakkoliv, aby se to vzájemně nemohlo ovlivňovat nikdy a za žádných okolností, stejně to nakonec máme všechno v jednom vlaku a ovlivňovat se to bude. Ledaže bys měl topení v jednom vlaku, světla ve druhém, lokomotivu ve třetím, kávovar ve čtvrtém a cestující nechal stát na nádraží.

Copak toho není dost?

20.1.2006 14:46 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Souhlasim, taky si myslim, že je jistější i kvůli pitomině celej vlak zastavit a vypnout, než pak tahat mrtvý z příkopů podél kolejí, protože se na chybu nepřišlo dřív.

20.1.2006 15:20 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Výborně, a jak bys to dělal u letadla? Zastavíš ho ve vzduchu? Cestující dostanou padáky a budou katapultováni?

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 17:43 VícNežNic | skóre: 42 | blog: Spáleniště | Ne dost daleko
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

U letadla se postup bezpečného zastavení prostě jen trochu liší :-)

Copak toho není dost?

20.1.2006 18:14 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Kdyby letadla měla podobné problémy, jako mají Pendolina, dávno by je ÚCL sundal ze vzduchu - bez ohledu na způsob bezpečného zastavení :-)

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 15:00 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Skutečně kvalitní certifikovaný hostitelský systém No nic.

Nesměj se tomu - ona to skutečně není legrace. Získat certifikaci třeba pro DO-178b není vůbec jednoduché, a už vůbec ne levné. Uvedená certifikace je pro letectví, požadavky pro pozemní dopravu by tedy nebyly vyšší. Jen pro informaci: Microsoft u své řady Windows Embedded přímo zakazuje použití k podobným účelům.

Stát se může kdeco a ono je opravdu bezpečnější to při chybě i jediné součásti sestřelit raději všechno.

Takže kdyby MP3 přehrávač, který bude součástí takového systému, nemohl přečíst ID3 tag, bude nejlepší sestřelit všechno, co kdyby to ovlivnilo něco jiného :-D

Nebo když odejde žárovka v koncovém světle...

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 15:33 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Musíte rozlišovat typ chyby. Jsou chyby, které jsou dány určitými vnějšími podmínkami, se kterými musíte počítat. To je třeba případ chyby ve formátu MP3 souboru. S takovou chybou program počítá a je-li napsán správně, vzpamatuje se z ní a jede se dál. Ale pak jsou chyby systémové, které by, není-li někde v systému chyba, nikdy neměly nastat. Typickým případem jsou situace, které (viz jeden z předchozích příkladů) jádro řeší jako kernel panic. Tedy stavy, které znamenají vnitřní nekonzistenci systému, která může vést k jeho naprosto nepředvídatelnému chování. A v takovém případě jsou extrémní prostředky jako kompletní shutdown systému (samozřejmě pokud možno spolehlivým a bezpečným způsobem) zcela na místě.

20.1.2006 01:21 Hrabosh | skóre: 26 | blog: HBlog | Brno
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Já sem zase slyšel, že je chyba v nějakém pomocném měniči (nebo měniči pro pomocné pohony), či co. Asi tam narvali polovodiče z CKD :o))

Z.H.

To jsem psal já ... to není bordel, to je modulární!

20.1.2006 02:45 moira | skóre: 30 | blog: nesmysly
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Nebo italsky ;)

Překladač ti nikdy neřekne: "budeme kamarádi"

20.1.2006 07:20 Pravák Bob | skóre: 13 | Praha
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Protože příčinó bela chybná elektrónka E13 z našeho podniko Katodá Holomóc, připojuje se k omluvě i naša fabrika.

knowledge brings fear

20.1.2006 12:21 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

…fabreka. :-)

a aby jsme se vyhnul zavlečeným chybám používáme unit testování...

20.1.2006 13:32 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Jenže v reálu je to často tak, že se chyba najde v té nejposlednější chvíli, pak se horkou jehlou udělá nějaká oprava a na nic dalšího není čas. Anebo se příčina chyby nezjistí vůbec, ale celé se to "nějak vyřeší". Výsledek je stejný.

Kdyby se totiž pořádně testovalo už během vývoje, naprostá většina chyb by se zjistila včas. Ale v praxi se to z různých důvodů nedělá, a podle toho to také vypadá.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 13:53 Filda
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Pokud píšu "pendolíno" neexistujou žádný důvody, proč to tak nedělat. Navic unittesting může bejt automatizovanej.

20.1.2006 14:26 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Navic unittesting může bejt automatizovanej.

Může, ale musí být předem jasné, co se bude testovat (musí být naprosto přesně dány požadavky). Už tady to často ztroskotá. Kromě toho, řada chyb (těch nejzáludnějších) se tak stejně odhalit nedá.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 14:50 Filda
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Testovat se bude ta funkčnost která se píše. Nebudu psat testy pro něco co tam neni a naopak.

Kromě toho, řada chyb (těch nejzáludnějších) se tak stejně odhalit nedá.

Máš na mysli nějakou konkretní případ kterej nešel odhalit unit testem? To mě zajíma.

20.1.2006 15:20 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

Testovat se bude ta funkčnost která se píše. Nebudu psat testy pro něco co tam neni a naopak.

Jenže to jsme u toho. V praxi to vypadá většinou tak, že požadavky jsou mlhavé a během implementace se několikrát mění. U real-time systémů by k něčemu takovému rozhodně nemělo dojít, ale moc bych se nedivil, kdyby docházelo.

Máš na mysli nějakou konkretní případ kterej nešel odhalit unit testem? To mě zajíma.

Ano, třeba v případech, kdy se provádí operace, pro kterou je vymezen časový úsek, během kterého se musí bezpodmínečně dokončit. Podle všech teoretických předpokladů by se to mělo stihnout s rezervou, v praxi ale najednou dojde k tomu, že se to nestihne. A to třeba jen proto, že volání nějaké funkce OS trvalo výrazně déle než kdykoli předtím. Unit test lze aplikovat na součásti vlastního programu, ale u OS se musí spoléhat na poskytnutou specifikaci. Proto to tady nemusí odhalit všechny chyby (chyba může být totiž právě v tom, že se nevhodně - nebo třeba zbytečně - volá nějaká funkce systému).

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.1.2006 15:39 Filda
Rozbalit Rozbalit vše Re: To už se znovu nerozbije

1) Přece když se změní požadavek, tak změnim i test.

2) Pokud je to závislý na čase, tak se to fakt testuje blbě. Nicméně můžu otestovat ošetření stavu kterej nastane pokud se něco nestihne. Pokud mě to teda napadne.

To už se znovu nerozbije

Hodnocení: 93 %

Komentáře