魔神至尊、Barr与丰田代码（2）

“大师是对语法和程序结构很熟悉,程序业务逻辑没见过,很正常。但并不影响他去判断和分析代码。实现业务逻辑有n种方法。大师可以判断你这种做法好不好。”

Barr大师12岁开始编程，又在大学电子专业期间研究编程，第一份工作做了三年，据他自己在法庭上说做了一个项目，同时攻读他的硕士。毕业后马上成为principle，15个月内不但写了Solaris/NT的PCI驱动，而且写了Java到Verilog的转换器（至今没有公司能做到）。然后再一跳就是architect（一般人花15年不一定能做到，大师用了15个月），不过只做了3个月，然后晃呀晃呀直到打官司时的收费是每小时525美元，并花了上千小时研究丰田的代码，结果是物有所值，丰田为这个集体诉讼陪了300万。
http://club.tgfcer.com/attachment.php?aid=586045
http://www.netrino.com/images/cv-barr.pdf

“28万行源代码+15个月+9名专家得出的鉴定结果结果，被一名码农推翻，如果是真的话，NASA以后全体下岗算了。
  美国运输部这项研究邀请了美国国家航空航天局（NASA）工程师参与。
拉胡德说，9名NASA专家“严格检查了”9辆消费者投诉称带有暴冲现象的丰田汽车。
NASA专家检查了28万行软件代码，查找可导致突然加速的瑕疵。他们发射电磁波，查看能否影响汽车电子系统，让汽车加速。
美国运输部去年8月公布的初步研究显示，基于行车记录器（又称汽车“黑匣子”）的检查，没有发现任何电子系统瑕疵可导致暴冲。
运输部下属国家公路交通安全局的调查表明，58辆出现暴冲现象的丰田汽车中，35辆车的司机在撞车前没有踩刹车、9辆车的司机是在出事前最后一刻才踩刹车。”
以上转自http://forum.xitek.com/thread-1229404-2-1-2.html

交通安全局报告和结论：http://www.nhtsa.gov/UA
“ECM的设计考虑到满足发动机控制的实时约束。实时操作系统采用的是基于车辆分布式控制单元的OSEK标准，由AUTOSAR8（Automotive Open System Architecture，丰田是主要成员）所支持。操作系统基于任务执行架构，而每个任务都有一个固定的，静态分配的优先级。”
“看门狗控制（WDC），带有独立的CPU子系统，监控主发动机控制单元电脑和所有的它被设计用于响应的信号和事件。无论是主CPU将自行复位或检测到异常情况时，WDC子系统将复位ECM。这些条件是：。。。”
如果发生错误导致看门狗重启系统，“重启时间足够快，其发生在汽车在运行时并不明显。主CPU和子CPU也可以根据遇到的错误条件，独立地重新启动，主/子CPU产生的看门狗脉冲和监视对方的健康。”
“该系统是由丰田汽车公司的工程师设计和软件规范。详细的软件设计，实现和单元测试由DENSO工程师做。交付代码由TMC验收测试，（集成测试）是在一个特殊的称为MITY的高保真硬件测试平台进行的。”
“堆栈溢出检查。系统堆栈限制到只有4096字节，因此，重要的是要确保没有执行超过堆栈的限制。这种类型的检查在没有递归程序（这是重安全的嵌入式软件的标准）的情况下通常是简单的。”