Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bestuurder elektrische auto komt vast te zitten door installeren software-update

In China is een bestuurder van een elektrische auto opgesloten geraakt toen er tijdens het rijden een software-update werd geïnstalleerd. De auto kwam op de weg tot stilstand en zorgde er vervolgens voor dat de bestuurder langer dan een uur vast kwam te zitten.

Dat meldt the South China Morning Post op basis van een bericht dat automaker Nio plaatste op het Chinese Weibo. De fabrikant bevestigt dat een van zijn testauto's midden in het drukke verkeer van Beijing tot stilstand is gekomen nadat de gebruiker ervoor gekozen heeft om een software-update te installeren; volgens Nio waren er verscheidene handelingen nodig om de software-update te starten, maar het bedrijf bood wel zijn excuses aan dat het tijdens het rijden deze mogelijkheid biedt. Het adviseert gebruikers om eerst de auto langs de kant van de weg te zetten alvorens een update te installeren.

Tijdens het installeren van de update kwam niet alleen de auto tot stilstand, maar kon ook de bestuurder niet uit de auto komen. Zo was het niet mogelijk om de deuren te openen, of om een raam open te zetten.

Nio is onderdeel van een Chinese start-up en maakt luxueuze elektrische auto's. Het bedrijf is enkele jaren actief, waarbij de supercar EP9 een van de meest opzienbarende modellen is; hiervoor moet een bedrag van ongeveer 1,4 miljoen euro worden neergelegd.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

01-02-2019 • 19:18

203 Linkedin Google+

Reacties (203)

Wijzig sortering
Zit even te denken hoe je dit kunt beveiligen. Mijn idee zou zijn om alleen maar toe te staan dat iemand een update initieert als zijn auto met een laadpaal verbonden is.

Misschien alternatief ook dat je nog iets van een geofence kunt instellen, zodat als je thuis geen laadpaal hebt, dat je dat als 'designated update area' kan instellen.
De meeste auto’s die een dergelijke software update kunnen ontvangen doen dit zo idd.

Dit is het typische voorbeeld van een Chinees bedrijf die wel kunnen maar niet doordenken zeg maar.
Je weet kennelijk niet zo goed waar je over praat. Mercedes, Nissan, Renault om maar wat merken te noemen hebben continu stroom nodig tijdens de vaak lange update procedure. Een oplossing is om dat tijdens een langere rit te doen. De meeste moderne autos vallen namelijk in battery protectie als het langere tijd stil staat met verbruikers aan. Dodelijk voor een update.
Het ligt ook aan de soort update.. een ECU update zal zelden rijdend kunnen omdat daarmee de actuele gegevens aangestuurd worden.
Kan er niet een soort redundante firmware draaien? Een ‘running’ config en een saved config a la Cisco routers? Firmware update en draait alvast op de ‘saved’ config en als de auto ‘uit’ gaat dupliceert ie ‘m naar de running config?
Is natuurlijk technisch mogelijk. Maar de meeste auto software heeft dat soort beveiligingen nog niet.
Nu is het bij een config natuurlijk wat simpeler te realiseren dan bij een volledige vervanging van het systeem.
Waar heb je het over?

Uit eigen ervaring: de eerste generatie Renault TomTom's (inmiddels zo'n 10 jaar oud) installeerden de firmware updates op de niet-actieve partitie, om pas na een succesvolle update de actieve partitie te swappen. Dat was dus letterlijk een 1-byte write. En zelfs toen al was dat niet bijzonder "vernieuwend"; dat was gewoon wat je als professional deed.
Je hebt het over een navigatiesysteem. Inderdaad dat zit er ook een in een auto.
Bestuurd echter niet de auto.
En er staat helder 'de meeste' dat is niet alle.

[Reactie gewijzigd door SED op 4 februari 2019 14:13]

Klopt, maar dat is het punt niet echt. Als zelfs oude infotainment systemen die voorzorg nemen, wat doet je dan denken dat "de meeste auto's" dit niet doen voor hun Engine Management en andere kritieke systemen? Zoals ik al zei, dit is niet vernieuwend maar gewoon zoals het hoort.
Ervaring met diverse op Linux gebaseerde autosoftware van recente datum die dit niet doet.
Nissan, Mercedes, Renault en mogelijk anderen.
De auto industrie is overigens zelden vernieuwend maar erg behoudend. (Zie ook de andere voorbeelden hieronder genoemd.)

Vandaar dat een tesla de zaak ook zo op weet te schudden

[Reactie gewijzigd door SED op 4 februari 2019 14:53]

Erhm running-config en startup-config zijn vrij letterlijk wat de namen zeggen en maken de firmware geenszins redundant.

Het maakt de configuratie niet eens redundant maar ok.
Lastig hè, over een concept nadenken voordat je iets probeert te typen ;-)

Ik leg vrij letterlijk uit dat je 2 firmwares kunt draaien waarbij er eentje actief is en een image als failsafe dient. Je update de failsafe en kopieert deze over naar de actieve firmware. Dan bouw je een zekere redundantie in (indien image slecht is: verwijderen voordat ie live gaat) en zou dit probleem niet voor moeten komen.
Zal ik die terug koppen?

Je kunt geen 2 firmwares *tegelijk* draaien op een standaard apparaat. Je moet daar minimaal voor rebooten (en normaliter bijv. een config register aanpassen).

Als je het concept redundantie niet begrijpt, zoek het dan zelf eerst even op. Dit is meer failsafe achtig.

[Reactie gewijzigd door freaky op 5 februari 2019 09:24]

Waar heb ik het over “tegelijk”?
Nogmaals: leer wat redundant betekend...
Als er één van iets stukgaat neemt de ander het over. Ergo: een actieve, en een passieve firmware. Noem het een BIOS voor mijn part. Of een OS. Upgrade eerst de passieve, na de checksums en als de auto ‘uit’ staat en aan een lader hangt kopieert ie de geflashte firmware naar de actieve firmware.

Zo moeilijk is dat toch niet te begrijpen..... manmanman... ik mag toch hopen dat je niet in de IT werkt...
Als jij graag in een auto wilt zitten die 2 minuten nodig heeft om een back-up firmware/controller te starten in een noodgeval, doe dat vooral.

Ik ben er liever sneller uit als ik tussen 2 vrachtwagens gesandwiched wordt met een waterstof tank of nogal chemische accu's, maar ieder z'n meug.

In IT betekend redundant over het algemeen active <-> active (helaas zijn er nogal wat partijen die het e.e.a. anders interpreteren). active <-> passive is failsafe. Dan moet er nog wat gestart worden of aangepast als het omflikkert en dan is er dus downtime mee gemoeid. Ik heb weinig behoefte aan downtime bij brand-/explosiegevaar en zal wat jij als redundant ziet/accepteert in o.a. de voorbeeld situatie van z'n levensdagen niet accepteren.
Denk je nou serieus dat motoren (benzine, diesel of elektrisch) tegenwoordig al niet aan elkaar hangen van firmwares?

Spoiler alert: dat is al járen zo. ESP, ABS, kleppentiming, inspuiting, alles is al softwarematig geregeld. En heb je er ooit last van?
Ah ja, dit verhaal ging idd over iemand die z'n auto niet meer uit kon omdat het motor management het niet meer deed.

Je hebt helemaal gelijk. Mea culpa maximus enzo. |:(

edit:
Oh en als toevoeging ja. Als ik rem assistentie e.d. niet uit zet wordt ik op verschillende vaste plekken, iedere keer weer, helemaal gestoord van de incorrecte rem alarmen die als een idioot beginnen te rinkelen. Denk dat er iets van verkeers metingen of radar apparatuur (geen flitskasten) staan daar waar het van over de zeik gaat want het maakt geheel niet uit hoe hard ik rij en zijn altijd dezelfde plekken in beide richtingen.

[Reactie gewijzigd door freaky op 7 februari 2019 10:31]

ESP en ABS en al die fratsen meer hebben niks met motormanagement te maken, maar wel met firmwares ;) ook dát kan stuk. En luxe auto's hebben vaak meer van die vage problemen dan 'simpele' auto's, zo is het nou eenmaal. Massagestoelen waarvan motortjes het niet meer doen, electronische handremmen die niet functioneren, zelfdimmende spiegels die niet meer dimmen omdat de lichtsensor niet werkt, er is zóveel wat stuk kan gaan. Heb een collega gehad die een keer een kop-staartje heeft gehad (van achteren aangereden in dit geval) in een peperdure BMW waarbij hij maanden later nog steeds gekke alarmpjes had op de vreemdste momenten. Wat bleek: één van de glasvezelkabeltjes die vanuit de achterkant van de auto naar de computer liep bleek gebroken.
Ja dit ging meer over Elektrische auto’s dacht ik. Vandaar mijn bevestiging over de paal.

Veel van die auto’s doen dat snachts als ze aan de paal staan.
Meeste ECU’s houden daar niet echt van,
Dan valt je veortuig gewoon stil of veroes je de controle, ook zie je vaak dat alles afhakelijk is van die ECU dus tijdens downtime werkt niets dus ook geen raambediening.
De ECU’s die ik heb ontworpen kun je online updaten zonder dat er iets niet meer werkt.
Alleen kom je die niet tegen in een personen auto zo snel.
Hangt ook van de update af. Mijn eigen Ford kan de kritieke updates wel downloaden, maar installeerd pas als die uit staat. Zou je onverhoopt starten terwijl de update bezig is, doen de basale functies het nog steeds alleen zit je met een zwart scherm in de midden console en stuur-display.

Echter diezelfde Ford kan updates van het satelliet entertainment systeem wel downloaden en updaten tijdens het rijden. Die specifieke functie doet het dan even niet, maar de rest wel.

Kwestie van goed afschermen van de functies dus.
Zit even te denken hoe je dit kunt beveiligen. Mijn idee zou zijn om alleen maar toe te staan dat iemand een update initieert als zijn auto met een laadpaal verbonden is.
Motor loopt: update uitstellen. Update loopt: motor niet starten.
Simpel genoeg, als je je eenmaal voorgesteld hebt dat er idioten bestaan die onder het rijden gaan upgraden, zoals hierboven al genoemd. Idiot proof is lastig te realiseren zonder een voorraad resident idiots, er is altijd een grens aan je voorstellingsvermogen.
Motor loopt: update uitstellen. Update loopt: motor niet starten.
Dan heb je dus een issue als iemand een update doet wachtend voor een open brug.

Wat is overigens de definitie van ‘lopende’ motor bij een EV.

[Reactie gewijzigd door Keypunchie op 2 februari 2019 11:48]

Zowiezo moeten gebruikers duidelijk gewaarschuwd worden dat tijdens de update er niet gereden kan worden en dat de update minstens "X-lang" zal duren. Heel duidelijk. Dan zal zo'n scenario als jij voorstelt niet snel gebeuren. Een ander idee is het ten alle tijden kunnen annuleren van de update en gewoon weer met de oude software kunnen verder rijden. Dan denk ik aan een soort "dual-bios" zoals Gigabyte dat heeft.
De oude blijft intact, de nieuwe software word op de tweede "bios" gezet en pas geactiveerd, nadat het geverifieerd is. Met als extra optie, dat je tijdens dat proces, je altijd kan terugvallen op het werkende systeem.
Dat is hier gebeurd, updaten tijdens een verkeersopstopping.
En die waarschuwing zal hij vast gehad hebben, zover ik begreep moeten er vijf stappen doorlopen voordat je kan initiëren.
Het lijkt mij gewoon veel slimmer om dat soort systemen te isoleren. Apart computertje en hooguit updatebaar met kabeltje voor als er echt een bug inzit.
God zegen de greep dat hij geen virus te pakken heeft, maar ik vind het een beetje slordig van die auto fabriekant.Hij kon zelfs de auto niet meer uit.Het veiligste zou inderdaad zo zijn dat hij pas begint te updaten als hij moet opgeladen worden.
Ik ben totaal leek, maar ik had er toch op gehoopt/verwacht dat bepaalde systemen een dubbele chip zouden hebben, waarbij de 1e 'straat' geupdate werd terwijl via de andere straat de auto nog gewoon volledig operationeel zou zijn...Dan na de update switchen van straat en bij de volgende update wordt dus de nu niet geupdate straat gepakt...
Op deze manier kun je nl ook altijd van update terugrollen (terugwisselen van straat) als er iets niet goed gaat. (kan wel 's gebeuren bij een telefoon, maar moet je bij een auto niet aan denken natuurlijk!)
Kan veel simpeler. In een auto zit een snelheidsmeter. Geen update toestaan als snelheid > 0.
Dan kun je dus de mist in gaan, als iemand update start wachtend op het stoplicht...

@PizzaMan79
Afgeslagen motor, iemand drukt op "update starten". Oeps.

Dat een voertuig stilstaat is alleen niet voldoende. Je moet een bepaalde zekerheid creeeren dat het ook een veilige plek betreft.

[Reactie gewijzigd door Keypunchie op 6 februari 2019 08:54]

Je kunt ook checken of de motor uit staat. Nog simpeler :-)
Regel 1: geen update uitvoeren tijdens de uitvoering van belangrijke routines (in dit geval dat de auto rijdt). Onbegrijpelijk dat een update niet alleen wordt uitgevoerd als de auto stil staat.
Auto staat in de file. Bestuurder verveeld zich en start de update. File gaat weer rijden en bestuurder heeft een probleem.
Zoals er al meer vermeld. De update zou eigenlijk enkel gestart mogen worden als de auto aan de spanning hangt.
Auto staat in de file, met een lopende motor. Beste remedie tegen is gewoon de update alleen mogen uitvoeren met contact aan, motor uit. Het kan zo simpel zijn....
Snap jij electrische auto's? Die motoren lopen niet zoals verbrandingsmotoren, die doen het als er stroom op staat, als je stilstaat staan ze uit. Dan 'lopen' ze dus niet (ook niet standby), en zijn ze dus echt uit. Zo simpel is het dus al niet.
DuS? geen stroom naar de motor als er een update gaande is. Of kan dat ook niet?

Sorry, maar als een update zo kritisch is lijkt mij dat de beste optie en volgens mij technisch 100% haalbaar. En ja, stilstaan in de file zou de update ook niet mogen. Auto moet bijv. minstens 30 minuten niet hebben gereden.

[Reactie gewijzigd door Madrox op 3 februari 2019 15:22]

Dat is dus wat er al gebeurde in dit geval. Wat je wil is geen update kunnen starten, ook niet als in de file je net even stilstaat. Daar moet toch iets anders voor.
30 minuten stil gestaan?

Natuurlijk moet het anders, dat zeg ik toch. Waar hebben we het over?
Na een editje wel hè ;)
Overigens ben je er dan nog niet, want je kunt niet voorspellen wanneer de bestuurder, of nog basaler gebruiker, terugkomt ...

Het probleem is niet enkel de timing van de update, maar dat kritieke auto-functies niet werken tijdens een systeem-update.
Iedere elektrische auto van nu heeft toch een app? Vraag de bestuurder via die app of de update doorgevoerd moet worden als hij hem aan de laadpaal hangt. De bestuurder weet echt wel of de update in die tijd doorgevoerd kan worden of niet.
Dit doet Tesla App inmiddels netjes. App geeft aan dat er een update klaar staat voor installatie (tot nu toe altijd bij mij op momenten dat ik juist niet in de buurt ben, als hij aan de wifi&lader hangt. Krijg je nog 2 minuten om je te bedenken voordat hij echt start. Meestal 15 minuten aan het ratelen, maar dan kun je deels al wel weer vanalles doen. Beide consoles rebooten een keer tijdens de updates, veel accessoires (actuatoren) flasht hij volgens mij op de achtergrond.
In auto's zit vaak geen 3G, laat staan 4G,

Volgens mij is 3G en 4G inmiddels de norm. Bij Amerikaanse auto's in ieder geval wel. Ook logisch, want in de USA en Japan, is 2G al grootdeels uit de lucht. Enkel vreemde-eend KPN heeft besloten het omgekeerd te doen.
Ok, dat is dan anders dan in Europa. Het downloaden van updates en zelfs laadpalen neemt enorm veel tijd in beslag bij mijn auto. Dat is serieus 1G, zover ik weet is 2G al lang uitgefaseerd. Maargoed, je krijgt het er gratis bij hè.

En dan bedoel ik natuurlijk niet de extra internet die je zelf kan toevoegen aan je auto zodat je WiFi in je auto hebt, dat is een betaald abonnement.
Om verwarring te voorkomen: 1G bestaat niet in de GSM wereld. Waarschijnlijk bedoel je GPRS? Dat is technisch ook 2G, al is er daarna een snellere variant genaamd Edge gekomen, en is GPRS inderdaad ontzettend traag :P

2G is bij alle providers in Nederland nog steeds actief, en men stelt dat men het nog geruime tijd in de lucht laat ivm geautomatiseerde systemen. Dat is jammer, want men heeft dus zitten slapen tov het buitenland alwaar men al veel eerder inzag dat 2G uitgefaseerd moest worden. Veel zaken als parkeermeters, slimme meters, etc zijn in het buitenland allemaal 3G, maar in Nederland nog steeds 2G.

Resultaat is dat men in Nederland 3G frequentiebanden moet sluiten om ruimte voor 4G en later vrij te maken ipv de technisch minder capabele 2G banden. Dat is extra jammer, want 2G banden zijn historisch gezien ook vaak banden met een beter bereik.
Ik heb wel eens ergens gelezen dat die oude netwerken erg stabiel en goedkoop zijn, en dat dit erg effectief is voor simpele data. Zoals die meters en matrixborden. Wat betreft de frequencies weet ik niet of die ook ingezet kunnen worden voor 5G, als dat zo is dan zou zo'n systeem wel weg moeten inderdaad. Wellicht is er dan wel een enorme kostenpost van alle apparatuur die vervangen moet worden als die dat niet ondersteunen.

Bedankt voor je update.
Regel 1: geen update uitvoeren tijdens de uitvoering van belangrijke routines (in dit geval dat de auto rijdt). Onbegrijpelijk dat een update niet alleen wordt uitgevoerd als de auto stil staat.
stel de auto staat stil bij een stoplicht, kan het dan wel?
stel de auto staat op een helling van 15% kan het dan wel?
stel dat het vriest, kan het dan wel?
stel de accu is 30% kan het dan wel?
stel hij zit aan de lader kan het dan wel?
stel de bestuurder moet naar het ziekenhuis tijdens een update kan dat wel?
stel het waait windkracht 7 kan het dan wel?
stel de gebruiker luistert muziek kan het dan wel?
stel het is buiten 50 graden Celsius kan het dan wel?

Wellicht staat er hier boven 1 situatie waar je niet aan hebt gedacht. Er zijn er vast nog meer dan ik heb opgeschreven. Of zou jij in al die gevallen hier gepost hebben
Regel 1: geen update uitvoeren tijdens ...
Voor mij is regel 1: breng inzittenden niet in gevaar.
Maar goed, zo heeft iedereen zijn prioriteit.

[Reactie gewijzigd door djwice op 1 februari 2019 21:49]

Ten eerste moet de auto stilstaan. Vervolgens moet je het combineren met enkele bevestigingsvragen om te kunnen verifiëren dat het OK is. "De update zal x minuten duren en tijdens deze tijd kan je het voertuig niet gebruiken" lijkt mij dan wel het strikte minimum.
maar dan blijft het nog altijd wel bizar dat deuren en ramen niet meer open kunnen worden gemaakt tijdens de update. Stel je gaat de update installeren en als je in de auto gaat zitten om door de updatesettings heen te gaan, trek je de autodeur uit gewoonte achter je dicht, dan zit je daar mooi :P
Met een buitentemperatuur van 30 graden, lijkt me heerlijk :Y)
Ik snap niet dat deze opmerking -1 is. Het is juist heel gevaarlijk als het buiten warm is en je zit opgesloten in je auto. Ik zou de ramen ingeslagen hebben om er maar voor te zorgen dat je niet levend gekookt word.
ik ben echt leek met dit maar zullen die autos geen anti hijack systeem hebben? deuren automatisch dicht bij rijden update erop en alles geen signaal meer?

vandaar alles gelockt?
Snap je reactie niet zo goed. Het was volgens mij best duidelijk wat @almightyarjen bedoelt. Auto aan de stekker lijkt me een prima startpunt.

Een paar van jouw vragen kun je dan gelijk weg strepen. Lijkt me niet dat je voor een stoplicht staat als je aan de lader hangt.

Andere vragen kan de auto geen rekening mee houden, zoals of de gebruiker naar het ziekenhuis moet...

En dan stel je nog een paar totaal overbodige vragen over wind en helling... wat heeft dat hier mee te maken???
Elektronische handrem?
Als een auto zo is gemaakt dat hij niet op een helling geparkeerd kan staan zonder stroom te hebben dan is dat een grove nalatigheid zelfs zonder dat je updates in ogenschouw neemt.
Voor mij geld de regel: stop zo weinig mogelijk Electronica in een auto.
Dat levert vroeg of laat problemen op.
In auto's en zelfs in de motoren zit al vele jaren gigantisch veel elektronica en software. Er zitten nadelen aan (dieselgate bijvoorbeeld), maar ook gigantische voordelen (ABS, EPS, e-call, brake assist, lane departure warnings, etc. etc.). Erg veel van die systemen maken de boel dus veiliger. Met weinig elektronica ga je terug naar domme systemen die milieuonvriendelijker, onveiliger en veel minder comfort hebben (climate control, navigatie?). Dus ik ben het duidelijk niet met je eens. Juist snel naar de zelfrijdende auto, dat kan jaarlijks 1,3 miljoen (!!) doden voorkomen. En een veelvoud aan gewonden en andere ellende (files, schade).
even iets genuanceerder dan...stop zo weinig mogelijk elektronica in een auto die niet uitgezet kunnen worden!
't is allemaal leuk ABS, EPS en de hele rits...sommigen zijn echt een verademing (lang leve stuurbekrachtiging...is dat trouwens ook elektronisch?), maar elektronica kan falen en moet dus uitgezet kunnen worden.
Ja, mensen kunnen ook falen, dus het mooist zou zijn als de mens de computer uit kan zetten, maar de computer ook tegen de mens kan zeggen 'we gaan dus niet meer rijden'...(b.v. bij alcoholmisbruik, als er veeeeel te langzaam gereden wordt wat je wel 's op de snelweg ziet, als er iemand bijna in slaap valt, etc, etc)

zelfrijdende auto? mss ooit, maar denk niet dat het daar de komende 15 jaar echt al van komt...(ook al zijn ze best leuk bezig).
Dat is dus bij vrijwel alle andere auto's wel zo. Zeker bij de Tesla's. Zal vast komen omdat Nio maar enkele exemplaren verkoopt en niet alles tot in detail is uitgedacht. Dit is een erg situatie gevoelige issue waarbij zowel de passagier zo dom moet zijn de update tijdens het rijden aan te zetten en het feit dat dit merk supercars ontwikkeld waarschijnlijk niet al te veel auto's lijkt te verkopen en niet goed voorbereid is op onvoorspelbare situaties.

[Reactie gewijzigd door Nimac91 op 2 februari 2019 06:19]

Als zoiets basaals al niet goed geprogrammeerd is, dan zou ik voor geen goud in die auto durven rijden...
Verkeerd foto geplaatst. Dit is NIET de betreffende test auto. https://www.scmp.com/news...eat-after-car-jam-beijing originele pers bericht.
Gelukkig was het dan ook een testauto ;)
Aan de andere kant. Wie installeert er dan ook tijdens een rit nieuwe software van de auto waar je op dat moment in zit ...

Maar de software zou dat op zijn minst ontzettend moeten afraden natuurlijk.
Aan de andere kant. Wie installeert er dan ook tijdens een rit nieuwe software van de auto waar je op dat moment in zit ...
de tester.
Stupidity is the strongest force in the universe.
Je vergeet de “herstart de auto niet en stap vooral niet uit”.
De vergelijking met Windows Update drong zich ook bij mij direct op. In dit geval, echter, koos de bestuurder er zelf voor om de updates te gaan doen. en werd het dus niet 'opgedrongen' via het OS. Al zal de auto vast wel aangegeven hebben dat er een update beschikbaar was. Dat laatste is wel kwalijk te noemen, want een auto die 'in operation' is, die mag natuurlijk nooit stil komen te staan (voor een install/reboot?). Met andere woorden: de update mogelijkheid mag tijdens het rijden (of liever: wanneer de auto ook maar iets anders doet dan opladen) gewoon nooit aangeboden worden, en al helemaal nooit uit zichzelf mogen geschieden (en ik ga er van uit dat het laatste ook gewoon nooit gebeurt).
hoe verkeerd je de keuze mag vinden, het is wel dat moment dat een bestuurder zal zien dat er een update klaar staat.
Dan nog zou de bestuurder perfect op "ja doe maar mogen klikken" vervolgens hoort de auto te detecteren wanneer de bestuurder uitgestapt is (en de motor uit ) en dan mag hij updaten.(liefst wanneer die aan de charger hangt.)
ander alternatief is dat de wagen het zonder bevestiging doet waneer die stat op te laden.
Dat had toch met een simpel "IF-ELSE" statement voorkomen kunnen worden.
Het is ook geen gebrek aan technische kennis. Het is een gebrek aan verbeeldingsvermogen over hoe je gebruikers met het product omgaan.
“A common mistake that people make when trying to design something completely foolproof is to underestimate the ingenuity of complete fools.” - Douglas Adams
“You can design your software to be idiot proof, but they’ll come up with a more advanced idiot”
Leuke woordspeling. Maar hier is de idioot de software ontwikkelaar geweest.

Software updates kunnen live toegepast worden wanneer daar het systeem voor voorzien is. Een systeem ergens voor voorzien betekent dat je het systeem zal testen op die functionaliteit.

Dit systeem (deze wagen) was daar duidelijk niet voor voorzien.

Testen is iets dat maar weinig software ontwikkelaars doen en graag doen. Er zijn dan ook maar weinig goede software ontwikkelaars.

Noot: ik ben al 20 jaar actief als software ontwikkelaar

[Reactie gewijzigd door freaxje op 2 februari 2019 10:32]

Testen kost tijd en is dus duur, en er is door management niet altijd het nodige budget of tijd voorzien.
Als ontwikkelaar zit je doorgaans ook met een deadline om iets tegen een bepaalde datum af te krijgen.
Dikwijls heeft marketing al de launch date van een produkt vastgelegd, ook al is dat nog volop in ontwikkeling, als tegen de launch date er nog wat problemen inzitten, gaat het produkt toch de deur uit
Dat maakt het prima Dan voor en product wat als massawapen gebruikt kan worden om niet goed te testen als er een deadline behält moet worden.
Je hoeft niets te testen om te weten dat je tijdens het rijden geen update moet toestaan. Blijkbaar was er wèl rekening mee gehouden want er was specifieke code om de auto te stoppen en af te sluiten.
Ook daar een fail, want voor je een auto afsluit moet je eerst zeker weten dat er niemand in zit.
Dit is gewoon door een stelletje onzindelijke programmeurs software architect in elkaar gezet ontworpen.
Dit betrof een testauto.
"Noot: ik ben al 20 jaar actief als software ontwikkelaar "....... en zelfs dan blijkt dat je zelfs bij iets simpels als een berichtje over moet gaan op een update ;-)
Als je 20 jaar ervaring hebt weet je dat je onmogelijk alle scenario's kunt dichttimmeren, nooit. De uitdaging is die scenario's te bedenken waarbij een fout de grootste gevolgen heeft. En als niemand bedacht heeft om het scenario "rijdende auto op de snelweg laten we de software eens updaten" te benoemen bestaat de kans idd dat dat scenario niet gedekt is. Kwalijk? Zeker. Helemaal als de deuren blijkbaar door software geregeld worden, waardoor die nu niet open gingen. Maar om de software ontwikkelaar de idioot te noemen? Nope. Dan eerder de tester die dit scenario niet heeft gedekt. En de ontwerper die dit scenario niet heeft benoemd.
De update is door de bestuurder in werking gezet tijdens een verkeersopstopping.
De update zal vast alleen tijdens stilstand geïnitieerd kunnen worden.
Waarschijnlijk stond hij stil en had niets te doen dan (nieuwsgierig?) op knopjes drukken, en heeft hij de waarschuwing voor lief genomen.
Zoiets als dat je telefoon meldt dat de update enige tijd kan duren en dat het toestel dan niet gebruikt kan worden. En waarvan je achteraf denkt; "zo lang, nog niet klaar?".
Net zo dom als je benzinemeter negeren en stil komen te staan zonder brandstof (al is dat aannemelijker dat dat niet jouw schuld is omdat de verkeersopstopping uren duurde en je normaal genoeg had gehad om thuis te komen).
Dus na knopjes drukken auto in shutdown en in het afsluitproces gooit de computer de auto op slot.

Neemt niet weg dat je altijd uit een voertuig moet kunnen van binnen uit, ook al gaan alle elektrische sloten er op, bv met een mechanische override : een deurhendeltje aan de binnenkant zoals iedereen dat kent.

[Reactie gewijzigd door Teijgetje op 2 februari 2019 19:15]

iemand was me voor...

[Reactie gewijzigd door asing op 2 februari 2019 16:58]

Grappige uitspraken zijn het wel, maar ik als developer maak me wel een beetje zorgen als ik zie hoeveel mensen denken dat dit compleet waar is.

In mijn optiek heb jij als 'maker' gefaald wanneer mensen in staat zijn jou product compleet stuk te maken. Het is gewoon de fout geweest van de developer om te kunnen updaten tijdens het rijden. Niet de fout van de bestuurder om de mogelijkheden van je product te gebruiken, die moet er vanuit gaan dat hij niks fout kan doen (in hoeverre mogelijk natuurlijk, keuzevrijheid VS veiligheid/duidelijkheid van gebruik).
Tweakers meldt tijdens het rijden, op de Chinese SCMP site wordt gesproken van tijdens een verkeersopstopping.
Als de computer constateert dat de auto stilstaat zal aan een voorwaarde voldaan worden om te kunnen initiëren.
Een simpele warmtesensor zou kunnen detecteren dat de motor heet is en dus zeer recent nog in actie is geweest >> update blokkade!
Je bedoelt dat als je net thuis je auto in de garage hebt gezet je de update niet aan mag zetten?
"Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning." - Rich Cook.
Al jaren mijn favoriete quote.
Het toont aan dat men in China een andere mentaliteit heeft, alles moet snel op de markt komen, testen word minder goed gedaan.
Let wel het heeft ook met de cultuur te maken opvoeding wat je meekrijgt. Die is in China heel anders en lees de laatst 20 jaar extreem veranderd ten opzichte van het westen.
Dit is niet exclusief aan China. Westerse bedrijven lopen net zo goed de kantjes eraf.
Maar in de westerse landen zijn er strengere sancties voor dergelijke nalatigheden.
Welke sancties heeft een bepaald software bedrijf ontvangen toen er na een OS update ineens persoonlijke bestanden waren verdwenen ?
We hebben het hier over auto's niet over software op je pc.

Lees terugroepacties van fabrikanten als er iets mis is. die hebben we de laatste 15 jaar aardig wat gezien.
Jaren daarvoor was het in de USA onder fabrikanten gewoon een rekensom, wat kost een terugroepactie en wat kosten een paar doden en ongevallen.

Er is toen een zaak geweest waar dit aan het licht gekomen is, zelf verfilmd waar de auto industrie alles geprobeerd had te verhullen. De schadevergoeding was echter aanzienlijk en dus ging het plaatje voor de fabrikanten niet meer op. Terugroepacties zijn nu standaard. Er word dus zeker beter gekeken en vooral getest.

Betreft autoindustrie laatst leuk verhaal op bnr radio. Nederlander die in China werkt in motorontwikkeling voor auto's alles gaat er sneller, ook ontwikkelingen, vaak 2x zo snel. Tegelijk verteld hij ook 1 van de redenen is dat men minder test. In vergelijking met Duitse fabrikanten werden zaken door en door getest.
Voor zover ik weet heeft VAG maar een tik op de vingers gekregen na hun laatste stunt...
Westerse landen zijn vooral goed in zich op de borst kloppen en hun superioriteit uitschreeuwen.
Hahaha Über rijdt iemand dood en het is “sorry” en jij probeert te zeggen dat het westen het beter doet.
Kans op aan de bedelstaf raken, lange gevangenisstraffen, marteling, doodstraf voor nalatigheden? Zou het? Meestal gaat het hier met (opzich wel relatief hoge) boetes. Hooguit dat er een keer een directeur van VW een paar maanden de bak indraait voor een emissieschandaal.

[Reactie gewijzigd door mae-t.net op 2 februari 2019 03:22]

Oh really? Noem eens vergelijkbare zaken waarbij de Chinezen en “wij” een compleet andere straf hadden? Wij geven bedrijven als Uber, Google en FB een geldboete die geen donder voorstelt. Meanwhile, in China zijn ze nu bezig met een wet tegen IP-theft met de volgende straffen:

“China says violators would be banned from issuing bonds or other financing tools, and participating in government procurement. They would also be restricted from accessing government financial support, foreign trade, registering companies, auctioning land or trading properties.


In addition, violators will be recorded on a list, and financial institutions will refer to that when lending or granting access to foreign exchange. Names will be posted on a government website.”

Hele andere koek dan onze “betaal even 0.001% van je maandelijkse winst omdat je stout bent geweest”

[Reactie gewijzigd door ItsNotRudy op 2 februari 2019 09:50]

"De fabrikant bevestigt dat een van zijn testauto's ... "

Bedoel je dat deze testauto's door de gewone man in gebruik is?

En je doet nu overkomen alsof de westerse cultuur zowel de standaard is als onveranderlijk is.
Ik denk dat ze @Vexxon 's more advanced idiot als testdriver hebben ingehuurd.
Wees even eerlijk en beeld je in dat je test driver bent van een van die autos. Je krijgt onderweg een melding dat er een update klaar staat. Wat doe je dan?

Juist. Installeer nu. Laat maar zien wat er knalt.

Die man heeft zijn salaris verdiend.
Een auto met deze prijszetting mag zulke problemen niet veroorzaken, noch tijdens het rijden vragen voor een update. Bovendien moet je moet minstens kunnen uitstappen als het elektrische en/of IT gedeelte faalt. Ook daar vind ik het ongelofelijk dat ze in mechanische onderdelen hebben bespaard.
Probleem zit hem in de hele elektronica, alles is met elkaar verbonden, dus de hendel van je deur of slot die elektronisch zijn en in het systeem zitten.
Dit soort vitale delen moet gewoon een apart systeem hebben dat altijd werkt, zelf als de hoofdcomputer uitvalt update of weet ik wat.

Herinner me jaren terug in de sportschool loopband die op hol sloeg. Dan zit er een noodstop die moet werken. Dus niet band loopt gewoon door. die noodstop moet eigenlijk direct met het stroomcircuit verbonden zijn en stroom eraf gooien. In dit geval zal het een knop zijn die verbonden is geweest met een controlebord, een bord dat een signaal krijgt noodstop, stroom moet er af.
Probleem het bord zal op hol geslagen zijn en dus het signaal van de noodstop niet zien.

Idem zie ik nu bij dit soort systemen, alles is te complex en eventuele noodsystemen als kunnen openen van een deur zijn met centrale computer verbonden. Dit zou niet mogen, niet mogelijk moeten kunnen zijn. sterker nog de taak van een wetgever is er voor te zorgen dat die altijd een apart systeem is dus altijd werkt.
Wie zegt dat er geen noodsysteem is om de deur te openen? Het is alleen niet gebruikt. Daar kunnen heel veel redenen voor zijn wanneer je in een testauto rijdt.
Tijdens het installeren van de update kwam niet alleen de auto tot stilstand, maar kon ook de bestuurder niet uit de auto komen. Zo was het niet mogelijk om de deuren te openen, of om een raam open te zetten.
Dus de bestuurder kon het noodsysteem niet vinden ?
Handig als er echt een ongeluk gebeurt en je na een uur zoeken nog niet uit de auto kan.

Of zoals ik al stelde het noodsysteem is verbonden aan de centrale computer en die was aan het updaten waar het noodsysteem niet werkte.
Helemaal eens. Belachelijk om te stellen dat de gebruiker een "idioot" is. Het is idioot dat de fabrikant het mogelijk maakt om een kritieke update uit te voeren met een rijdende auto, die nog idioter word daar de portieren vergrendelt word door de update actie.

Duidelijk een geval van "daar is niet goed over nagedacht".
soms is dus een ordinaire aan uit schakelaar of een stekker geen overbodige luxe ;-)
Prijszetting heeft er niks mee te maken. Ik durf te wedden dat er voor dit soort autos veel minder budget is om dingen goed te krijgen dan voor een standaard model. 1.4 M klinkt als veel, maar ik vermoed dat alleen de tekeningen al zoveel kosten. Je hoort wel vaker dat heel dure autos veel gebreken hebben - die dan ook duur zijn om te maken, omdat de kennis en onderdelen schaars zijn. Vaak zullen ze dan ook met een onderhoudscontract worden geleverd - da's niet voor extra service.

Ik ben het er natuurlijk wel mee eens dat die deur sowieso te openen moet zijn. Ook zonder het raampje in te slaan.
Als test-driver heeft hij een bug gevonden. Dus inderdaad, hij heeft zijn salaris verdiend.
Nio, which markets itself as a challenger to Tesla, confirmed the incident on its Weibo account on Tuesday, claiming the driver “accidentally made a series of operations that activated the system update” during a traffic jam on Changan Avenue.
Er moeten vijf stappen, begreep ik, doorlopen voordat de update geïnitieerd kan worden, een daarvan zal stilstaan zijn.
Dat het dus "lukt" tijdens een stilstand tijdens een verkeersopstopping kun je geen bug noemen.
De computer registreert stilstand.

Een testrijder die het updateprotocol doorloopt tijdens een stilstand, wetende dat hij elk moment weer op moet kunnen trekken, verdiend geen salaris, dat is een gevaar op de weg als hij niet na kan denken.
dit inderdaad. Mensen die 1.4 mln neer kunnen tellen voor een auto met nul praktisch nut die kunnen ook wel wat geld lappen voor een advocaat die schadeclaims in gaat dienen.
Het is ook geen gebrek aan technische kennis. Het is een gebrek aan verbeeldingsvermogen over hoe je gebruikers met het product omgaan.
In dit geval hebben deze chinezen waarschijnlijk de fout gemaakt er van uit te gaan dat iemand die een auto van meer dan een miljoen € kan betalen ook kan lezen. Ik kan me namelijk niet voorstellen dat er helemaal niet voor gewaarschuwd is door de ontwikkelaars van de update.
Een gebruiker die meldingen weg klikt zonder deze te lezen moet ik me niet voorstellen. Ik kan er zo een aantal opnoemen.
Toch is hier de gebruiker niet in fout. Als ik Windows aan het gebruiken ben dan laat ik de update's ook installeren. Dit doe ik niet als ik mijn laptop niet gebruik. Ik laat de laptop wel pas afsluiten als ik deze niet meer ga gebruiken.
Bij een auto is dit hetzelfde. Je kan de update's laten uitvoeren tijdens het rijden want je gebruikt de auto enkel om te rijden. Je gaat niet voor de lol in de auto zitten om te kijken als er update's zijn.
Je hebt (systeem-)updates en (update-)patches.
Een update overschrijft de bestaande code in zijn geheel, en tijdens dat proces is de pc of telefoon niet bruikbaar. Dat wordt altijd aangegeven.
Bij kleine patches wordt maar een klein stukje vervangen terwijl de rest van het systeem gebruikt kan.

Een update van een auto is niet hetzelfde, alle systemen zijn nodig tijdens het rijden. De software/systemen is/zijn er alleen voor de "autonomie" van het voertuig cq veiligheid van de rest van de wereld
Je kan dus niet even iets uit zetten en vertrouwen dat de rest van het systeem die functies overneemt en de auto even veilig blijft. Zo`n subsysteem zit er niet voor niets.
En daarvoor zal hij vast gewaarschuwd zijn; "tijdens de update is het voertuig niet bruikbaar".

De gebruiker is gewoon dom als hij dat initieert tijdens stilstand in een verkeersopstopping. Duidelijk een gevalletje PEBCAC. (problem exists between chair and car)

(Overigens geen nare auto om een uurtje in opgesloten te worden, die waar het om gaat,, niet die gele bij de nieuwstitels of blauwe in het artikel)

[Reactie gewijzigd door Teijgetje op 2 februari 2019 20:21]

Bij het installeren van updates bij Windows of bij Android krijg je de melding wil je updates installeren? Dan kan je dit bevestigen en dan begint deze pas te downloaden. Bij het afsluiten (bij het verlaten van de auto) begint de update dan pas verder te installeren.
Dit lijkt me foolproof. Het is voor mij 100% zeker de fabrikant zijn fout en maar goed dat er geen ongelukken zijn gebeurd.
Er zijn 5 stappen die je moet doorlopen voordat je kunt updaten met die auto. Dan kan je haast niet onbewust per ongeluk updaten lijkt me, en ben je een moron als je dat toch tijdens een verkeersopstopping gaat doen.
Maar de fabrikant zal vast verhelpen dat een gebruiker "zijn hond niet in de magnetron kan drogen" voortaan. ;)
Zelfs als je denkt "natuurlijk staan ze stil als ze dit initieren!" is het natuurlijk nogal knudde dat je een uur lang de auto niet uit kunt. Als je thuiskomt en je denkt "ohja, ik zal nog even die update initieren, dan is ie morgen mooi vers!" en je kan vervolgens een uur lang de deur niet opendoen ben je ook pissed -- zelfs als het iets minder is dan wanneer je midden op de weg staat.
Iets waar heel veel programmeurs en technici last van hebben.
Hoe je ook je best doet, er zal altijd een situatie zijn die je niet had kunnen voorstellen.

Mensen die doen of testen eenvoudig is hebben het nooit of nooit goed gedaan. Ik kan je vertellen dat grondig testen godvergeten moeilijk is. Mijn (ontwikkel) team besteedt meer dan 66% van de tijd aan testen, en controleren van testen, en toch blijven er dingen doorheen glippen. Testmethodieken helpen ook maar tot op zekere hoogte.
En dan komt er ook nog bij dat testen vaak gedaan wordt door mensen met kennis van de systemen die getest moeten worden (of in elk geval die weten hoe ze met dat soort systemen om moeten gaan). Het is verdraaid lastig om te bedenken wat voor idioot domme dingen sommige mensen ermee kunnen en gaan doen...
Laat het dan een idioot testen 8-) Zie in mijn werk dagelijks mensen werken met systemen die gemaakt zijn door it-ers, voor it-ers, maar gebruikt worden door 16-jarigen en 40-jarigen die sowieso niet snappen hoe een systeem werkt.

Simpel gezegd moeten er labels gescand worden van de spullen die terug gestuurd worden. Aan het einde moet dat proces afgesloten worden en dan komt er een blaadje uit dat de chauffeur mee krijgt voor de ontvanger. Alleen soms bij een recall moeten er meer blaadjes uit de printer komen en in de desbetreffende container bijgevoegd. Die kwamen uit de printer nadat het printscherm van het eerste blaadje gesloten was, kwamen de gebruikers proefondervindelijk achter. En de vrachtwagen was dan dus ook al afgesloten. Daarbij liep de software dusdanig vaak vast dat het ongeveer 10minuten duurde voor de applicatie afgesloten was, opnieuw gestart, daarna weer vast liep en er een andere pc geprobeerd moest worden, etc. Uiteindelijk kwam er wel een mooi blaadje uit. Maar we zijn nu 2 jaar verder voor er ontwikkeld is dat na het afsluiten van labels scannen nu automatisch het desbetreffende blaadje uitgespuugd wordt op kantoor. En de evt extra blaadjes ook nog steeds na het eerste blaadje. Dat zal over een jaar of 2 waarschijnlijk pas vooraf geprint kunnen worden gokken de gebruikers. (Serieus vandaag nog om gelachen met betreffende gebruikers)

Ik kan me dus voorstellen dat mensen die kennis van de systemen hebben heel anders testen dan de daadwerkelijke gebruikers. En ook hele andere logica gebruiken. Simpel gezegd, ontwikkelaars verdienen hun geld met ontwikkelen, gebruikers niet. Die willen vooral een makkelijk systeem dat het altijd doet en snel werkt, zodat ze met hun werk geld verdienen.

De gebruiker van deze testauto kreeg wellicht een melding van een update, vond dat vervelend en drukte net zo lang tot de melding weg was. En hij op de snelweg stil stond met een auto die niet meer open kon.

[Reactie gewijzigd door Miglow op 2 februari 2019 00:47]

Yep - meerdere blaadjes probleem hebben wij ooit deels opgelost door de printer op dubbelzijdig te zetten. Mensen liepen weg met 1 blaadje.

Dubbelzijdig printen zorgde ervoor dat het eerste blaadje er niet uit kwam voordat ook de achterzijde bedrukt was. Dat scheelde een heleboel "oh hoorde die er ook bij" opmerkingen. Scheelde ook papierkosten.
maar onder 16 en boven 40 snap je geen systemen ??.......vreemd... :+
Geen idee, maar dat zijn de gemiddelde gebruikers en systemen die ontwikkeld en getest zijn zonder de toekomstige gebruiker uit te leggen hoe het werkt. En vastlopen zou ook niet moeten.
Ik kan me geen situatie voorstellen waarbij het echt noodzakelijk is dat de bestuurdersdeur niet van binnenuit te openen is.
What’s next? Softwarematig bepalen of de rem wel gaat functioneren als je op het rempedaal trapt?
Oh... dat is al jaren gemeengoed. Sinds ABS en zo, begon het. Met regeneratief remmen kan het niet anders. Zoek op 'brake-by-wire'. Er rijden genoeg auto's rond waarbij de rem slechts een signaaldraadje is
Onzin, zeker voor de rem is altijd een backup systeem.
Uit Wiki: "The hydraulic force generated by pressing the brake pedal is used only as a sensor input to the computer unless a catastrophic failure occurs including a loss of 12-volt electrical power."
Tenzij in deze auto letterlijk alles sofwarematig is geregeld. Dus zelfs geen deurhandel aan de binnenzijde van de deur om de deur te ontgrendelen. Op een zomerse dag zit je dan mooi in de puree. Airco werkte vast ook niet 8)7

[Reactie gewijzigd door Loadjnt op 2 februari 2019 14:18]

Dus als je auto in de fik vliegt vanwege kortsluiting en daardoor de computer op tilt slaat kun je er dus niet uit.

Vind maar gevaarlijke ontwikkeling dat alles maar softwarematig moet zijn, zoals de deuren en misschien ook de rempedaal niet meer mechanisch zijn.

Ook het uitschakelen van de motor bij nood hoort niet softwarematig te zijn, gewoon een rode knop dat de stroomtoevoer eraf gooit.

Natuurlijk is er de lifehammer, maar dat werkt niet als de boel op tilt slaat en de auto gas bij gaat geven, even van uit gaan dat je met automaat rijdt.

O btw ik kan nog steeds remmen bij moderne auto, 's de handrem gaat nog met een staaldraad met beleid eraan trekken gaat prima in nood.

[Reactie gewijzigd door mr_evil08 op 2 februari 2019 17:03]

Het gaat er niet om dat je alle fouten er uithaalt maar in ieder geval de domste.

Vriend van mij is ICT'er maar heeft geen opleiding, hij heeft de kennis opgebouwd vanuit de praktijk maar kan heel moeilijk een baan vinden door gebrek aan een diploma.

Hij komt altijd met de vreemdste verhalen bij de bedrijven waar die werkt, de mensen die daar bij de IT afdelingen werken begrijpen niet eens hoe dingen werken en hij moet het ze vaak uitleggen en soms worden die gasten zelfs in hun eer gekrenkt omdat ze denken wat komt deze nieuwe gast hier mij proberen dingen te leren die ik al jaren doe.

Wat ik probeer te zeggen is dat bij ICT niet of heel weinig vanuit de praktijk word gedacht, de simpelste fouten worden er gemaakt in de software bij het bedrijf waar ik werk.

Dingen die met navraag ook anders kan maar die navraag word dan niet eens gedaan, men is te vol van zichzelf en zo trots dat ze een ICT'er zijn dat ze denken alles te kunnen waardoor men de domste fouten maken.

Ik heb dit te vaak gezien en meegemaakt en ook van anderen gehoord dat het niet meer niet waar kan zijn.
Maar een test die kijkt of wanneer een systeem zoals een wagen in bedrijf is, een bepaald menu disabled staat, is geen moeilijke test om te schrijven. Niet als systeemtest (met Squish dan waarschijnlijk, want het meeste van die infotainmentsystemen is met QML en Qt geschreven tegenwoordig) en niet als een Unit Test (staat de disabled state van de menuitem op true indien de gemockte omgeving zegt dat de auto aan het rijden is).
Maar nu stond de auto stil in een verkeersopstopping. Dan laat de computer het updateprotocol doorgaan.
Kan dus ook voor een stoplicht.
Of je krijgt een navigatiecheck of de auto niet op de openbare weg staat maar op een (designated) parkeerplaats voordat het protocol doorloopt.
Naast onwenselijk qua privacy kan ik me zo voorstellen dat alle navigatiesoftware wel de wegen in kaart heeft gebracht maar dat er geen exacte coördinaten zijn van alle parkeerplaatsen. Om die data ook failsafe te maken krijg je enorm dure navigatiesoftware die haast van militaire precisie moet zijn.
In dit geval lijkt het me niet moeilijk om te testen of een software update veroorzaakt dat sommige functionaliteiten (zoals rijden) niet werken tijdens de update en men dus als conclusie de update tijdens het rijden niet beschikbaar maakt. Zoals ze dit uiteindelijk ook hebben gedaan.
De programmeurs bepalen niet hoe de applicatie gaat werken, dat doet de designer dmv state diagrammen.

Als een brug instort kun je ook stellen dat op positie y 3 bakstenen erbij hadden gemoeten om het te voorkomen. Maar uiteraard had die conclusie uit het vakgebied van de ontwerper moeten komen. Niet on the fly op het moment dat de bouwer op dat specifieke deel zit ("oh ja dit is ook wel leuk/handig om erbij te coden/metsellen").
State diagrammen voor software.... Goh, in 30 jaar heb ik er 3 gezien, dat was in een week en die waren gemaakt in Excel voor een game website 14 jaar terug, daar voor en daarna nooit een tegen gekomen. Wat is het nut er van t.o.v. bijvoorbeeld Gerkin en modulair design met unit tests. Ik ben best een voorstander van input én output validatie. Je weet immers vaak niet of je eigen verwachting voldoet aan wat de code kan ;-)
Ik heb ook best een aversie tegen state, ik maak dingen graag stateless.

[Reactie gewijzigd door djwice op 1 februari 2019 21:34]

Voor wat ik om me heen zie, bestaat het onderscheid tussen designer en programmeur niet meer. Je ziet wel een verschil in focus of voorkeur, maar als aparte rollen zie ik ze al heel lang niet meer.
De programmeurs bepalen niet hoe de applicatie gaat werken, dat doet de designer dmv state diagrammen.

Probleem is echter vaak dat in kleien software teams er geen designers zijn.

En binnen grote multinationals heb je soms héle kleien software teams, die door veranderende marktomstandigheden dan opeens een veel groter bereik krijgen ...

En in deze sector denk ik dat er nog minder ervaringen en regels zijn in China dan in de westerse wereld.
Nou als de failure al in de IF sectie plaatsvindt dan kom je niet meer toe aan de ELSE. Ik denk typisch een gevolg van een software implementatie die niet FAIL - SAFE is geprogrammeerd. Daarbij denk ik dat in dit soort systemen je eigenlijk een n+2 aantal computes moet gebruiken die samen de app / services horizontaal (paralel) draaien. Bij een update doe je dan eerst node 1 en check je of deze weer goed meekomt binnen de app / services en daarna na verloop van tijd de 2de enz. totdat alles is geüpdatet. Nooit 1 compute met 1 app waarop alle services draaien.
If($Car_Driving -eq $True){$Software_Update = $False}

Hoe moeilijk kan het zijn ?
Stoplicht? Of zoals hier gebeurde tijdens een verkeersopstopping.

If($Car_NotDriving -eq $True){$Software_Update = $True}
Het was maar een voorbeeld om mee te beginnen. Je kunt heel basale parameters gebruiken om een aantal scenario's op voorhand uit te sluiten. Bijvoorbeeld dat er niemand op de bestuurdersstoel mag zitten zodra de softwareupdate daadwerkelijk begint of dat je auto aan een laadpaal moet hangen.

Veel laptops laten hun firmware ook niet bijwerken zonder netspanning.
maar het bedrijf bood wel zijn excuses aan dat het tijdens het rijden deze mogelijkheid biedt.
Dit zou toch gewoon mogelijk moeten zijn? Als ik een software update heb voor mijn huidige auto voer ik deze juist tijdens het rijden uit, omdat ik anders de auto aan moet laten staan terwijl hij op de parkeerplaats stil staat.
En als dat een software update voor je entertainment systeem is, dan sure, waarom niet... Ergste wat kan gebeuren is dat je even geen muziek hebt. Dat systeem kan prima compleet offline terwijl jij rustig verder rijdt.
Maar dit systeem is verantwoordelijk voor het rijden zelf. Je kunt niet een systeem upgraden terwijl het zijn primaire taak uitvoert! Of nou ja, in theorie wel mogelijk, maar het is geen goed idee. Een update kan ook altijd mis gaan, of onverwachte effecten hebben (bugs). Dan wil je daar toch liever niet met 130 KM per uur achter komen denk ik?
Ik heb ECU’s die wel online geupdate kunnen worden, dit werkt echter iets anders.
Omdat je huidige firmware blijft draaien, terwijl het nieuwe wordt ingeladen, deze wordt dan pas actief wanneer updaten klaar is.
Mocht er dan wat miss gaan ben je zeer snel weer terug geschakeld naar de vorige firmware.
Het grote voordeel van redunantie
Ik heb zelf een hybride auto, maar als ik de kaarten van de navigatie wil updaten moet de auto zelfs in de parkeerstand gezet worden voordat de update gestart wordt. Het is voor mij niet mogelijk om dit tijdens het rijden uit te voeren. Het is wel nodig om de auto op het contact te zetten voor de energievoorziening.
Tijdens het updaten kan het zijn dat de motor aangaat om de accu's op te laden.
Zo'n update kan volgens mij gewoon met het contact aan, motor uit. Zoals je nu ook bijv. je radio aan kan zetten zonder te starten.
Daarom hebben Europees goedgekeurde auto’s met een elektrische deur schakelaar nou altijd een manuele switch China!
Ach, zou me niet verbazen als deze chinese auto's dat ook gewoon hebben, maar dat de media dat gewoon niet fatsoenlijk uitgezocht heeft en de gebruiker dus te dom was om de knop te vinden (immers was die ook al zo dom om een update uit te voeren tijdens het rijden).
Het is een testauto, het lijkt mij dan de taak van de tester om alle mogelijke idiote dingen te proberen.
Of zoals Tesla het doet, eerst ophalen, dan de gebruiker laten weten dat er een update is (via het display of de app), dan de gebruiker de optie geven om die nu te installeren (met een geschatte tijd) of de optie geven om te instaleren op een ander tijdstip (hij stelt dan 3 uur in de nacht voor). Als de accu laag is krijg je de update optie niet te zien. Tijdens de update kan je niet rijden. Dat een kleine firma als Nio dit soort fouten maakt in een beta software heeft niets te zeggen over de staat van automotive IT.

Ik heb 20 jaar Mercedes S gereden. Groot fan. Maar in de latere modellen zaten meer dan 140 kleine elektromotortjes. In de stoel alleen al 9, in de deur (met spiegel) 7. Ik denk dat ik eerlijk kan zeggen dat de meerderheid van de tijd er wel eentje niet goed werkte. Soms een belangrijke zoals een stuurverstelling, soms een onbelangrijke zoals een massage optie in een achterstoel. De vervelendste die ik me kan herinneren van een van de motortjes die een deur op slot trok (in die auto doe je de deur zacht dicht en daarna sluit de auto hem helemaal zodat je een hele mooie stroomlijn en geen windgeruis had). Omdat die niet werkte ben ik eens van Parijs naar Berlijn gereden met elke 10 seconden een biep en een waarschuwing. Telefoontje naar Mercedes kan ik me nog herinneren, ze kwamen naar mijn hotel met een nieuwe deur, lol.

Als jij je Windows gaat updaten ga je dan tegelijkertijd je bios doen? Tuurlijk niet, maar je PC laat dat wel toe. Deze auto deed dat ook, de bestuurder had beter een andere keuze kunnen maken maar als de optie er was.... maar dit is een heel klein windje in een theekopje. Zal wel omdat het vrijdagavond was en er geen ander nieuws was. want serieus.... ergens in China zit een man een uur vast in zijn (test!!!) auto en ik moet dat weten?

Overigens, voor zover ik weet is het in China, net zoals in Europa en De VS ABSOLUUT verboden om de deuren niet handmatig te kunnen openen. Daarom heeft de Tesla Model S naast de elctrieke wijze ook een handmatige wijze. Ik denk daarom dat dit een totaal onzinnig bericht is. Ik geloof eenvoudig niet dat de bestuurder zijn auto niet uit kon. Zelfs in China mag je niet met beta auto's op de openbare weg rijden als die niet aan de regels voldoen.

[Reactie gewijzigd door falconhunter op 1 februari 2019 19:44]

Omdat die niet werkte ben ik eens van Parijs naar Berlijn gereden met elke 10 seconden een biep en een waarschuwing.

Mijn Amerikaanse Ford SUV had ook ooit zoiets. Daar was het echter niet elke 10 seconden een beepje, maar random een paar keer per uur vol het alarm aan .. terwijl je aan het rijden was. _/-\o_

We waren net op een roadtrip :(
Ja, want Tesla heeft alles perfect in orde...

Ik had 6 maanden geleden hetzelfde voor met een MX, bij hevige regenval viel alles uit, kon nog net naar de pechstrook rijden en kon het voertuig niet meer verlaten. Na 10 min kon Tesla Support het verhelpen.
Nooit uitleg gekregen, alleen een dreigement dat ik het niet naar de pers mocht lekken.
Gelukkig is een dreigement geen bindend contract.
En daarnaast is vertellen wat er met je gebeurd is geen lekken.

Wat tesla echter wel kan doen is je voortaan geen service meer geven. En als jij het daar niet mee eens bent is je enige remedie om het koopcontract te ontbinden -- niet om ze te dwingen het toch te leveren.
Weet je ook dat je in het vervolg eerst de deur open moet doen om te updaten.
Lijkt me geen pretje met 45graden zoals in Australië als je dit overkomt.

Maar het lijkt me zeer verstandig dat ze hier toch bepaalde voorwaarden aan stellen.
Als genoemde aan de laadpalen of geolocaties.
In ieder geval wel een optie dat je er uit kunt lijkt me wel vitaal.
"In ieder geval wel een optie dat je er uit kunt lijkt me wel vitaal."

Inderdaad, en dat is volgens mij ook prima mogelijk. Bij treinen en bussen is dat hetzelfde: als de machinist/chauffeur de deuren niet open krijgt, dan kan hij/zij altijd nog met de hand (één van) de deuren openen of de passagiers kunnen dit doen (in geval van nood). En bij liften ook trouwens: met de juiste sleutel (die monteurs en een stel niet-monteurs die voor de kick aan liftsuren doen hebben) kunnen de deuren ook handmatig worden geopend.
Dus dan moet het bij auto's als deze ook prima mogelijk zijn om dat in te bouwen.
Dit lijkt me nou precies waarom de testauto's er zijn :P
Volgens mij heeft dit niets met een foutieve update te maken. De bestuurder koos ervoor om tijdens het rijden de update uit te voeren. Als ik het zou vergelijken met een Android update dan kun je tijdens de update je toestel niet gebruiken. Zo ook met deze auto. Ik denk dat de bestuurder nadat de update was uitgevoerd wel gewoon uit kon stappen, al meld het artikel dit niet.

[edit] Ik zie dat in het artikel inderdaad over een testauto gesproken wordt. Dat veranderd de situatie wel iets. De bestuurder heeft de auto in dat geval goed getest. Hier kunnen de ontwikkelaars mee aan de slag. ;)

[Reactie gewijzigd door 3raser op 2 februari 2019 12:10]

Ik weet niet of je kan vergelijken met Android in dit geval. De meeste infotainmentsystemen draaien tegenwoordig op QNX en dat is live te patchen.

[Reactie gewijzigd door Vistaus op 2 februari 2019 12:24]

Waarom is het interessant om te melden dat dit een elektrisch auto is?
Dit zou bij iedere soort auto kunnen gebeuren, de krachtbron maakt niets uit.
Zo gauw je de software kunt updaten (via OTA of desnoods via een USB drive), kan het misgaan...


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True