米国でのトヨタ車急加速事件、ファームウェアに欠陥があったとの見方ふたたび 110
トヨタ側の反応はいかに 部門より
組み込み聞く向けのコンサルティングを行っているBarr Group社がトヨタ車のエンジン制御モジュール(ECM)の分析を行ったところ、安全重視であるはずの電子制御スロットルシステム(ETCS)に、意図していない急加速を生じさせるバグが発見されたそうだ。それ以外にもソースコード上の欠陥が見つかっているという(本家/.、EDN記事)。
トヨタ車の電子制御系については以前にも問題があるのではとの疑いがあったが、米運輸省は2011年に電子制御系には欠陥はないとの結論を出していたが、もしBarr側の調査が正しいのであれば、これを覆すものとなる。
これによると、ETCSのソースコードの品質は信用できないレベルで、意図しない急加速以外のバグも含んでいるという。コード品質指標から見ると、これ以外のバグもありそうだという。さらに、ECMのハードウェア構成においても問題があり、トヨタ側が搭載していると主張しているRAMのエラー検出・修正機構(EDAC)についても搭載されない、もしくは低コストのパリティだけに頼っているという問題があるという。
そのほか、ECMのソフトウェアでは重要なデータのミラーリングが不完全で、スタックオーバーフローを防ぐための機構もうまく動作していない、などの問題があったという。実車テストの結果、意図しない急加速が起きた場合、一度足を完全にブレーキから外さなければ加速を止められないことも分かったとのこと。
米オクラホマ州で2007年に、2005年モデルのカムリが急加速したことにより、運転していた76歳の女性が重傷を負い同乗していた女性が命をおとすという衝突事故が起きた。この事故を巡る訴訟で、オクラホマ州の裁判所の陪審はトヨタに300万ドルの賠償を命じる判決を下している(読売新聞)。
想定されるケース (スコア:5, 参考になる)
電子制御スロットル搭載車では
アクセルオフ時に以下のような制御を行います。
1.燃料供給カット
2.スロットルバルブ全開
2.の制御はポンピングロスを削減して燃費効率向上に繋げるために行われるのですが、
この状況でECUのバグによって、燃料が供給されてしまうと、
問題の急加速が発生してしまいます。
トヨタは問題ない、と高をくくっていますが、
もし本当にバグがあると、問題は1つの車種に留まりません。
トヨタ車のECUはデンソーが作っていますが、
もし、共通ライブラリー由来のバグだと、
北米カムリ以外の車種や他メーカーの車種にも影響が広まる可能性が有ります。
Re: (スコア:0)
Re: (スコア:0)
逆に考えると、未だに大規模な問題が全車種で発生、ってわけでもないので、現象は発生しないか、ごく極めて限られた条件で発動する、ってことでしょうね…。
まぁ、ブレーキオーバーライドとか、安全系を別系統で用意すりゃいいんだと思うのだけど、近年は回生ブレーキなどの都合上ブレーキすらバイワイヤになっていて、いろいろ面倒ですね。
せめて、始動キーをOFFに戻せば止まれるようになってりゃいいのにな。
スタートボタン長押しとかUI設計として狂気の沙汰だよ。
Re:想定されるケース (スコア:1)
あれ?そういえばいまどきのクルマってエンジンの強制停止ってスタート長押しなの? 知らんかった。確かにそれは怖いな。
Re:想定されるケース (スコア:2)
Re:想定されるケース (スコア:2)
代車で借りた今時のAT車がイグニッション鍵穴無しのスマートエントリー車で、運転しながら「こいつが暴走してスタートボタン長押しで強制停止したらどうなるんだろう?」と考えたのでした。
Re: (スコア:0)
「終了させるのにスタートを押す」と言う「Windowsの笑い話」「Microsoftが車を作ったら」ネタが笑えなくなったな。
Re:想定されるケース (スコア:1)
Windows関係なしに, 多くの標準的なPCの強制電源断が電源ボタン長押しですし, ACPI対応したマザーボードおよびOSなら起動とシャットダウンの双方とも電源ボタンを押すことで行いますよね. それに一般の電気スイッチで押ボタンタイプの電源スイッチとする場合, オルタネート式のスイッチを使って on/off共に「ボタンを押す」動作で実行するようにすることが多いですよね.
ただ, 大規模な機械などで通常の電源スイッチとは別に非常用停止ボタンを設置してあることも多いですけどね. この場合, 通常のボタンとは異なる安全性基準 [fujielectric.co.jp]が定められているみたいですけど. サーバとかメインフレームなんかだと, DBの耐障害テストでたまに使うこともありますが.
Re: (スコア:0)
とだけか書かれていますが、そんな単純な機構なんですか?
そんな部分が問題だと言い出したら、トヨタ車とかデンソー製とかじゃなくって、電子制御スロットルを搭載した車ほぼ全てが問題だという話になりませんか?
実際にはもっと複雑で、その複雑さの中身が適切かどうかが問題なんじゃないの?
Re:想定されるケース (スコア:4, 参考になる)
だいたいあってる。
ガソリンエンジンはだいたい成熟した技術で、
スロットルとかの基本的な機構自体はそんなに変わらないし複雑にはならない。
言うのも何だけど、ばらしてみればわかる。
海外のプライベータなら、最近の電子制御スロットルを古い車にくっつけて自作ECUで制御したりもしている。
基本ただのPWM制御のサーボモータだからね。
燃料供給カットはかなり古い車でも既に採用されている。電制スロットルがなくてもできることだから。
一方スロットルバルブ全開(つまりアクセル全開と同じ)はそれより少し後で普及した技術。
直噴エンジンだともっと豪快で、アクセルオンでもなるべくスロットル全開にして、
とにかく沢山空気を入れてポンピングロスを減らし、ただし燃料は少量を高圧で出す。
ふつうなら燃料が薄すぎると燃えないが、しかし圧縮+直噴の成層燃焼なのでちゃんと燃える。
>そんな部分が問題だと言い出したら、トヨタ車とかデンソー製とかじゃなくって、電子制御スロットルを搭載した車ほぼ全てが問題だという話になりませんか?
スロットル操作にバグがあれば、問題にはなるよね。
それを言っちゃうと、電動パワステも電気制御ブレーキも全て問題になりますが。
悪いのは電制ではなくバグ。
まあ、加速感の悪い電制スロットルは自分も嫌いだけどね!
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re:想定されるケース (スコア:1)
ホンダのハイブリッドエンジンはスロットルを全開にするのではなく、バルブを全閉にするようになってる。
Re:想定されるケース (スコア:2)
Re: (スコア:0)
Re: (スコア:0)
>2.スロットルバルブ全開 って、何で減速コースト時にスロットル全開にするのよ?
> ポンピングロス関係無いモードじゃん。
> 逆にエンジンブレーキ効かないでしょ!
> 本当にエンジン制御分かって書いてんの?
別ACだが、プリウスなら多分あっていると思うよ。
基本的にアクセルオフでエンブレが殆ど効かない。 < 最近のCVTも同じ
なので、エンブレが必要ならBモードにする。 < CVTならパワーとかスポーツモード
燃費追及なので、なるべく惰性で走る方向に振っているんじゃないかな?
Re: (スコア:0)
そうするとHEVって回生エネルギー回収優先でエンブレ効かないってこと?
恐くて乗ってられんな。。
Re:想定されるケース (スコア:1)
そうするとHEVって回生エネルギー回収優先でエンブレ効かないってこと?
Bモードにすれば回生ブレーキが積極的に効くので、エンジンブレーキの代わりになるよ、って話に見えるんだが、それでもエンジンブレーキでないと恐いって理由は何?
Re: (スコア:0)
まあ次のターゲット車のECU解析の口実をつけたいんだろうね。
日本のハイブリッド技術を全部明らかにしたいと。
Re: (スコア:0)
別に今更トヨタ車をリバースエンジニアリングしてまでハイブリッド技術を手に入れる必要なんて無いですよ。
GMもフォードも独自でハイブリッド技術持ってますし、トヨタがスタンダードだった時代は既に終わっています。
×欠陥はない ○見つからなかった (スコア:4, 興味深い)
本家のコメントにもありますが、「NASAが見つけられなかったバグを我々(Barr)が見つけた」というのがポイントみたいです。
日本では当時、「電子制御系には欠陥は無かった、だから濡れ衣」というニュアンスで報道されましたが、北米では「豊田章男社長いわく『NASAに頼んで調べてもらったけど見つからなかった(迫真)』」と言う形で、そのあまりの日本的な対応がテレビのバラエティとかで散々ネタにされていたようです。
ちょっとかわいそうに思いました。
欠陥があった (スコア:1)
Re: (スコア:0)
あると証明できないものは無いという以外ないのでは。
いつも言われますが、「問題がある」ことは問題を指摘すれば証明できますが、
「将来発見される可能性のある問題が一つもない」ことを証明するのは不可能です。
Re:×欠陥はない ○見つからなかった (スコア:2)
> あると証明できないものは無いという以外ないのでは。
あると証明できないものは 無い ではないですね。
あると証明できなかったにすぎない。
Re:×欠陥はない ○見つからなかった (スコア:1)
悪魔の証明を求めるのがPL法の本質なんだから、問題が起これば結局は製造者の責任だということになる。
Re:×欠陥はない ○見つからなかった (スコア:2)
自動定理証明機をつかえば結構現実的に検証できるのではないか? と愚考します。
まー、そのコストが馬鹿にならないんですけど。
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re: (スコア:0)
Pentiumのバグに懲りたインテルはその分野の研究者を雇い入れたとか
Re: (スコア:0)
> 「将来発見される可能性のある問題が一つもない」ことを証明する
はぁ?誰がそんな質問をしているんだ。デタラメ言うのもいい加減にしろ。
将来の話ではなく、過去の暴走事故についての話だろ。
車が暴走して死人が出ているのに、その原因を外部調査で証明されるまでは「あると証明できないものは無い(キリッ」と主張して
欠陥車を販売し続けるのがトヨタクヲリティなのか?
Re:×欠陥はない ○見つからなかった (スコア:1)
# 「バグは一切ありません」とか言う奴がいたら、詐欺師と思え。
林檎製品にはM$製の汚らわしいゴミと違ってバグは一切ありません(キリッ
Re: (スコア:0)
> 「運転者の運転技術に欠陥がなかったこと」を証明して下さい。
別に証明する必要なんてないよ。消費者は欠陥車を売り続けるトヨタの車を買わなくなるだけ。
正しくは、トヨタ側が「運転者の運転技術に欠陥があったこと」を証明する必要がある。
Re: (スコア:0)
「無い」と「みつからない」の違い、わかる?
Re: (スコア:0)
> 「将来発見される可能性のある問題が一つもない」ことを証明するのは不可能です。
論点がずれているにしてもこれは正しい。でも、それで
> あると証明できないものは無いという以外ないのでは。
無いと証明できないものを「無い」と言ってしまっていいのか?
公開さらし首 (スコア:1)
法的制限で不可 (スコア:1)
原因は (スコア:1)
日本のソフトウェアエンジニアの給料が安いからじゃねーの?
http://developers.srad.jp/story/13/10/22/0835257/%E7%B1%B3%E5%9B%BD%E3... [srad.jp]
米国企業全体のソフトウェアエンジニアの平均基本給は9万2790ドル(約910万円)
Re:原因は (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
業績が上がると (スコア:1)
この手の話がまた浮上するって、穿った見方をすると、
トヨタの売上げがまた快調になっているからじゃねぇかと。
思ってしまうよ。
Google自動運転のログ (スコア:1)
Google の自動運転自動車はトヨタのプリウス改造品だし、
大量のセンサーを搭載していて正確なログも記録してるんだし
今回の反論には使えるかも?
ここ [ameba.jp]によると無事故で
だそうですし。
もちろんバグがないことを証明したことにはならないけどね。
ソースコード? (スコア:0)
リバースエンジニアリングではないのか。
Re:ソースコード? (スコア:2)
ちょっとよく分からないんですが (スコア:0)
この人って業界的には有名人なんですか?
個人的には、トヨタならあってもおかしくないけど、
ちょっと眉唾かなぁと思うんですが・・
Re:ちょっとよく分からないんですが (スコア:2, 参考になる)
ストーリーでは300万ドルの賠償判決に触れていますが、これが突然の和解になったようで:
訂正:トヨタ、米オクラホマ州の急加速めぐる訴訟で和解 [reuters.com]
これまで勝訴を続けてきたトヨタが、あわてて和解に持ち込むような瑕疵が見つかったんかなぁ、と思っちゃいます。
EDNの記事は「ソースコードにMISRA-C [wikipedia.org]違反箇所がたんまりある」とか「グローバル変数が11000もあってスパゲッティだ」とか、うーんそれは本質的な問題なの?と素人的には思う点もあるんですが、「メモリがエラー訂正無しだった」とか「スタックオーバーフローなりでタスクが落ちたとき急加速が誘発されて、足を完全にブレーキから外さないと回復しないのが実車テストで確認された(Vehicle tests confirmed that..)」とかは言い訳できない印象です。
Re:ちょっとよく分からないんですが (スコア:1)
>この人って業界的には有名人なんですか?
組み込み畑でずっと食ってる人。
組み込み系の書籍も何冊か出していて、O'Reillyとかからも出てたような。
今回の分析やってるBarr Groupも、コンサルだけじゃなくて組み込み系のデザインやら何やらまでやってくれるところだから、まあ少なくともそれなりの技術は有るんじゃないかなあ。
Re:ちょっとよく分からないんですが (スコア:2, 参考になる)
この本の著者やね。
「CとGNU開発ツールによる組み込みシステムプログラミング 第2版」
http://www.oreilly.co.jp/books/9784873113265/ [oreilly.co.jp]
コンサルが言う警告 (スコア:0)
まずは米運輸省の調査がいかにザルだったかを示すところから始めるべきでしょ。
アレはアレで正しい。
しかし我々は独自に・・・・・じゃ話にならない。
問題の切り分け (スコア:0)
「トヨタの車載コンピュータはバグだらけのソースで出来ている」
これは事実かもしれない。その場合トヨタの品質管理には問題があると言われても仕方ない。
しかし
「バグだらけのソースのせいで急加速が起きた」
ことは、特定条件で現象が起きることを証明できなければ意味が無い。
/.-J の連動(?)広告 (スコア:0)
このストーリーを開いている時に出てくる広告がトヨタなんだが、いいのかな :-)
# そこまで広告を制御できんのだろうけどさ
Re: (スコア:0)
出てくる広告でカムリに乗っているのが島耕作なんだが。カムリってナンパ車だったのか。
Re: (スコア:0)
ある会社の製品に批判的なストーリーにその会社の広告が出るのはよくあること
# 個人の感想です
テクマクマヤコン (スコア:0)
>組み込み聞く向け
クミコミキクムケクミコミキクムケ正しい文字になあれ
走行パターンと燃調マップ (スコア:0)
走行パターンに合わせて燃調マップを変えているが、全て
のパターンをテストしきれているとは思えないのだな。
Re:設計に問題がある (スコア:2)
その「有害な事故」の原因が運転手の操作ミスではなくトヨタ車のバグだと証明されたならそうだね。
ψアレゲな事を真面目にやることこそアレゲだと思う。