パスワードを忘れた? アカウント作成
10134128 story
ソフトウェア

米国でのトヨタ車急加速事件、ファームウェアに欠陥があったとの見方ふたたび 110

ストーリー by hylom
トヨタ側の反応はいかに 部門より
danceman 曰く、

組み込み聞く向けのコンサルティングを行っているBarr Group社がトヨタ車のエンジン制御モジュール(ECM)の分析を行ったところ、安全重視であるはずの電子制御スロットルシステム(ETCS)に、意図していない急加速を生じさせるバグが発見されたそうだ。それ以外にもソースコード上の欠陥が見つかっているという(本家/.EDN記事)。

トヨタ車の電子制御系については以前にも問題があるのではとの疑いがあったが、米運輸省は2011年に電子制御系には欠陥はないとの結論を出していたが、もしBarr側の調査が正しいのであれば、これを覆すものとなる。

これによると、ETCSのソースコードの品質は信用できないレベルで、意図しない急加速以外のバグも含んでいるという。コード品質指標から見ると、これ以外のバグもありそうだという。さらに、ECMのハードウェア構成においても問題があり、トヨタ側が搭載していると主張しているRAMのエラー検出・修正機構(EDAC)についても搭載されない、もしくは低コストのパリティだけに頼っているという問題があるという。

そのほか、ECMのソフトウェアでは重要なデータのミラーリングが不完全で、スタックオーバーフローを防ぐための機構もうまく動作していない、などの問題があったという。実車テストの結果、意図しない急加速が起きた場合、一度足を完全にブレーキから外さなければ加速を止められないことも分かったとのこと。

米オクラホマ州で2007年に、2005年モデルのカムリが急加速したことにより、運転していた76歳の女性が重傷を負い同乗していた女性が命をおとすという衝突事故が起きた。この事故を巡る訴訟で、オクラホマ州の裁判所の陪審はトヨタに300万ドルの賠償を命じる判決を下している(読売新聞)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年10月31日 9時26分 (#2487316)

    電子制御スロットル搭載車では
    アクセルオフ時に以下のような制御を行います。
    1.燃料供給カット
    2.スロットルバルブ全開

    2.の制御はポンピングロスを削減して燃費効率向上に繋げるために行われるのですが、
    この状況でECUのバグによって、燃料が供給されてしまうと、
    問題の急加速が発生してしまいます。

    トヨタは問題ない、と高をくくっていますが、
    もし本当にバグがあると、問題は1つの車種に留まりません。

    トヨタ車のECUはデンソーが作っていますが、
    もし、共通ライブラリー由来のバグだと、
    北米カムリ以外の車種や他メーカーの車種にも影響が広まる可能性が有ります。

    • by Anonymous Coward
      可能性なら何でもアリ
    • by Anonymous Coward

      逆に考えると、未だに大規模な問題が全車種で発生、ってわけでもないので、現象は発生しないか、ごく極めて限られた条件で発動する、ってことでしょうね…。

      まぁ、ブレーキオーバーライドとか、安全系を別系統で用意すりゃいいんだと思うのだけど、近年は回生ブレーキなどの都合上ブレーキすらバイワイヤになっていて、いろいろ面倒ですね。

      せめて、始動キーをOFFに戻せば止まれるようになってりゃいいのにな。
      スタートボタン長押しとかUI設計として狂気の沙汰だよ。

      • by Anonymous Coward on 2013年10月31日 9時56分 (#2487331)

        あれ?そういえばいまどきのクルマってエンジンの強制停止ってスタート長押しなの? 知らんかった。確かにそれは怖いな。

        親コメント
        • by saitoh (10803) on 2013年10月31日 12時18分 (#2487421)
          走行中にスタート長押しでエンジン強制停止したら Acc 状態じゃなくて完全なオフになってハンドルもロックされてしまうのじゃないかと言う気がしたのですが、怖くて試してません。実際の所どうなんでしょう?
          親コメント
        • by Anonymous Coward

          「終了させるのにスタートを押す」と言う「Windowsの笑い話」「Microsoftが車を作ったら」ネタが笑えなくなったな。

          • by SteppingWind (2654) on 2013年10月31日 12時57分 (#2487451)

            Windows関係なしに, 多くの標準的なPCの強制電源断が電源ボタン長押しですし, ACPI対応したマザーボードおよびOSなら起動とシャットダウンの双方とも電源ボタンを押すことで行いますよね. それに一般の電気スイッチで押ボタンタイプの電源スイッチとする場合, オルタネート式のスイッチを使って on/off共に「ボタンを押す」動作で実行するようにすることが多いですよね.

            ただ, 大規模な機械などで通常の電源スイッチとは別に非常用停止ボタンを設置してあることも多いですけどね. この場合, 通常のボタンとは異なる安全性基準 [fujielectric.co.jp]が定められているみたいですけど. サーバとかメインフレームなんかだと, DBの耐障害テストでたまに使うこともありますが.

            親コメント
    • by Anonymous Coward

      アクセルオフ時に以下のような制御を行います。
      1.燃料供給カット
      2.スロットルバルブ全開

      とだけか書かれていますが、そんな単純な機構なんですか?
      そんな部分が問題だと言い出したら、トヨタ車とかデンソー製とかじゃなくって、電子制御スロットルを搭載した車ほぼ全てが問題だという話になりませんか?

      実際にはもっと複雑で、その複雑さの中身が適切かどうかが問題なんじゃないの?

      • by guicho2.71828 (38877) on 2013年10月31日 11時25分 (#2487386)
        > とだけか書かれていますが、そんな単純な機構なんですか?
        だいたいあってる。
        ガソリンエンジンはだいたい成熟した技術で、
        スロットルとかの基本的な機構自体はそんなに変わらないし複雑にはならない。
        言うのも何だけど、ばらしてみればわかる。
        海外のプライベータなら、最近の電子制御スロットルを古い車にくっつけて自作ECUで制御したりもしている。
        基本ただのPWM制御のサーボモータだからね。

        燃料供給カットはかなり古い車でも既に採用されている。電制スロットルがなくてもできることだから。
        一方スロットルバルブ全開(つまりアクセル全開と同じ)はそれより少し後で普及した技術。
        直噴エンジンだともっと豪快で、アクセルオンでもなるべくスロットル全開にして、
        とにかく沢山空気を入れてポンピングロスを減らし、ただし燃料は少量を高圧で出す。
        ふつうなら燃料が薄すぎると燃えないが、しかし圧縮+直噴の成層燃焼なのでちゃんと燃える。

        >そんな部分が問題だと言い出したら、トヨタ車とかデンソー製とかじゃなくって、電子制御スロットルを搭載した車ほぼ全てが問題だという話になりませんか?
        スロットル操作にバグがあれば、問題にはなるよね。
        それを言っちゃうと、電動パワステも電気制御ブレーキも全て問題になりますが。
        悪いのは電制ではなくバグ。

        まあ、加速感の悪い電制スロットルは自分も嫌いだけどね!
        --
        新人。プログラマレベルをポケモンで言うと、コラッタぐらい
        親コメント
    • by Anonymous Coward
      >2.スロットルバルブ全開 って、何で減速コースト時にスロットル全開にするのよ?ポンピングロス関係無いモードじゃん。 逆にエンジンブレーキ効かないでしょ! 本当にエンジン制御分かって書いてんの?
      • by Anonymous Coward

        >2.スロットルバルブ全開 って、何で減速コースト時にスロットル全開にするのよ?
        > ポンピングロス関係無いモードじゃん。
        > 逆にエンジンブレーキ効かないでしょ!
        > 本当にエンジン制御分かって書いてんの?

        別ACだが、プリウスなら多分あっていると思うよ。
        基本的にアクセルオフでエンブレが殆ど効かない。 < 最近のCVTも同じ
        なので、エンブレが必要ならBモードにする。 < CVTならパワーとかスポーツモード
        燃費追及なので、なるべく惰性で走る方向に振っているんじゃないかな?

        • by Anonymous Coward

          そうするとHEVって回生エネルギー回収優先でエンブレ効かないってこと?

          恐くて乗ってられんな。。

          • by Ryo.F (3896) on 2013年10月31日 11時56分 (#2487403) 日記

            そうするとHEVって回生エネルギー回収優先でエンブレ効かないってこと?

            Bモードにすれば回生ブレーキが積極的に効くので、エンジンブレーキの代わりになるよ、って話に見えるんだが、それでもエンジンブレーキでないと恐いって理由は何?

            親コメント
    • by Anonymous Coward

      まあ次のターゲット車のECU解析の口実をつけたいんだろうね。
      日本のハイブリッド技術を全部明らかにしたいと。

      • by Anonymous Coward

        別に今更トヨタ車をリバースエンジニアリングしてまでハイブリッド技術を手に入れる必要なんて無いですよ。
        GMもフォードも独自でハイブリッド技術持ってますし、トヨタがスタンダードだった時代は既に終わっています。

  • by ymitsu (31883) on 2013年10月31日 9時03分 (#2487305)

    本家のコメントにもありますが、「NASAが見つけられなかったバグを我々(Barr)が見つけた」というのがポイントみたいです。

    日本では当時、「電子制御系には欠陥は無かった、だから濡れ衣」というニュアンスで報道されましたが、北米では「豊田章男社長いわく『NASAに頼んで調べてもらったけど見つからなかった(迫真)』」と言う形で、そのあまりの日本的な対応がテレビのバラエティとかで散々ネタにされていたようです。

    ちょっとかわいそうに思いました。

    • by Hang off (46462) on 2013年12月13日 20時29分 (#2511608)
      NASAが見つけられなかったのは、調査期間の短さとツールや調査対象物へのアクセスが不十分過ぎたから。 後にNASAはスズウィスカ欠陥を発見し学会に発表している。つまり、政府は聞きたくなかったということだ。 次にソフト NASAは「見つからないから無いと言う事ではない」と取材に答えている。 Barrは原告側の専門家。Barrが証拠を見つけた途端に和解してしまった。 つまり欠陥があったとなります。ハードにもソフトにもあった。 ハードの欠陥の検証はトヨタ自身がやって、暴走につながると言うのを宣言しました。
      親コメント
    • by Anonymous Coward

      あると証明できないものは無いという以外ないのでは。
      いつも言われますが、「問題がある」ことは問題を指摘すれば証明できますが、
      「将来発見される可能性のある問題が一つもない」ことを証明するのは不可能です。

      • > あると証明できないものは無いという以外ないのでは。

        あると証明できないものは 無い ではないですね。

        あると証明できなかったにすぎない。

        親コメント
      • 車両に乗るようなプログラムとソースコードは、入力も出力も有限だし、
        自動定理証明機をつかえば結構現実的に検証できるのではないか? と愚考します。
        まー、そのコストが馬鹿にならないんですけど。
        --
        新人。プログラマレベルをポケモンで言うと、コラッタぐらい
        親コメント
        • by Anonymous Coward

          Pentiumのバグに懲りたインテルはその分野の研究者を雇い入れたとか

      • by Anonymous Coward

        > 「将来発見される可能性のある問題が一つもない」ことを証明する

        はぁ?誰がそんな質問をしているんだ。デタラメ言うのもいい加減にしろ。

        将来の話ではなく、過去の暴走事故についての話だろ。
        車が暴走して死人が出ているのに、その原因を外部調査で証明されるまでは「あると証明できないものは無い(キリッ」と主張して
        欠陥車を販売し続けるのがトヨタクヲリティなのか?

      • by Anonymous Coward

        「無い」と「みつからない」の違い、わかる?

      • by Anonymous Coward

        > 「将来発見される可能性のある問題が一つもない」ことを証明するのは不可能です。
        論点がずれているにしてもこれは正しい。でも、それで
        > あると証明できないものは無いという以外ないのでは。
        無いと証明できないものを「無い」と言ってしまっていいのか?

  • ここまで解析できているのならソースを公開できないものだろうか?皆で検討すればもっといろいろバグがみつかるかも。
    • by Hang off (46462) on 2013年12月13日 20時38分 (#2511619)
      そもそも、EDRにさえ専用フォーマットを使い日本の本社に二台しかリーダーがない隠蔽仕様のトヨタに公開の言葉はないです。 EDRでさえ裁判所命令で渋々だしたのですから... そのEDRにスロットル全開の記録が残っていたのを突きつけられたトヨタの反論は 「データにはエラーが有る。リーダーにもある。だから信憑性が無い」という笑える反論。 ETCSの電子制御には欠陥が無いって言ってるトヨタがEDRにもリーダーにも欠陥が有り信憑性が無いと言ってるんだからコメディです。 同様にギルバート検証に対し「ショートさせれば暴走するに決まっている 他社も同じだ」とよけいな反論し  安全宣言後にNASAがショートする欠陥スズウィスカを発見した。 つまりトヨタ自身がトヨタ車は暴走して当然と言った事になるのです。
      親コメント
  • by northern (38088) on 2013年10月31日 12時07分 (#2487413)

    日本のソフトウェアエンジニアの給料が安いからじゃねーの?

    http://developers.srad.jp/story/13/10/22/0835257/%E7%B1%B3%E5%9B%BD%E3... [srad.jp]
    米国企業全体のソフトウェアエンジニアの平均基本給は9万2790ドル(約910万円)

  • by Anonymous Coward on 2013年10月31日 14時13分 (#2487536)

    この手の話がまた浮上するって、穿った見方をすると、
    トヨタの売上げがまた快調になっているからじゃねぇかと。
    思ってしまうよ。

  • by Anonymous Coward on 2013年10月31日 17時41分 (#2487695)

    Google の自動運転自動車はトヨタのプリウス改造品だし、
    大量のセンサーを搭載していて正確なログも記録してるんだし
    今回の反論には使えるかも?

    ここ [ameba.jp]によると無事故で

    48万km以上に達しており、10台以上の試験車両

    だそうですし。
    もちろんバグがないことを証明したことにはならないけどね。

  • by Anonymous Coward on 2013年10月31日 9時04分 (#2487306)

    リバースエンジニアリングではないのか。

  • by Anonymous Coward on 2013年10月31日 9時15分 (#2487310)

    この人って業界的には有名人なんですか?
    個人的には、トヨタならあってもおかしくないけど、
    ちょっと眉唾かなぁと思うんですが・・

    • by Anonymous Coward on 2013年10月31日 14時10分 (#2487532)

      ストーリーでは300万ドルの賠償判決に触れていますが、これが突然の和解になったようで:
      訂正:トヨタ、米オクラホマ州の急加速めぐる訴訟で和解 [reuters.com]

      陪審はこの日、トヨタに対し懲罰的損害賠償を要求するか審議する予定だったが、陪審が評決を下す前にトヨタと原告側弁護士は、和解が成立した(訂正)ことを明らかにした。和解の内容は非公開となっている。

      これまで勝訴を続けてきたトヨタが、あわてて和解に持ち込むような瑕疵が見つかったんかなぁ、と思っちゃいます。

      EDNの記事は「ソースコードにMISRA-C [wikipedia.org]違反箇所がたんまりある」とか「グローバル変数が11000もあってスパゲッティだ」とか、うーんそれは本質的な問題なの?と素人的には思う点もあるんですが、「メモリがエラー訂正無しだった」とか「スタックオーバーフローなりでタスクが落ちたとき急加速が誘発されて、足を完全にブレーキから外さないと回復しないのが実車テストで確認された(Vehicle tests confirmed that..)」とかは言い訳できない印象です。

      親コメント
    • by Anonymous Coward on 2013年10月31日 9時56分 (#2487332)

      >この人って業界的には有名人なんですか?

      組み込み畑でずっと食ってる人。
      組み込み系の書籍も何冊か出していて、O'Reillyとかからも出てたような。
      今回の分析やってるBarr Groupも、コンサルだけじゃなくて組み込み系のデザインやら何やらまでやってくれるところだから、まあ少なくともそれなりの技術は有るんじゃないかなあ。

      親コメント
  • by Anonymous Coward on 2013年10月31日 9時22分 (#2487314)
    マッチポンプを生業とする連中だもんなぁ。

    まずは米運輸省の調査がいかにザルだったかを示すところから始めるべきでしょ。

    アレはアレで正しい。
    しかし我々は独自に・・・・・じゃ話にならない。
  • by Anonymous Coward on 2013年10月31日 10時00分 (#2487338)

    「トヨタの車載コンピュータはバグだらけのソースで出来ている」
    これは事実かもしれない。その場合トヨタの品質管理には問題があると言われても仕方ない。
    しかし
    「バグだらけのソースのせいで急加速が起きた」
    ことは、特定条件で現象が起きることを証明できなければ意味が無い。

  • by Anonymous Coward on 2013年10月31日 10時08分 (#2487341)

    このストーリーを開いている時に出てくる広告がトヨタなんだが、いいのかな :-)

    # そこまで広告を制御できんのだろうけどさ

    • by Anonymous Coward

      出てくる広告でカムリに乗っているのが島耕作なんだが。カムリってナンパ車だったのか。

    • by Anonymous Coward

      ある会社の製品に批判的なストーリーにその会社の広告が出るのはよくあること

      # 個人の感想です

  • by Anonymous Coward on 2013年10月31日 10時49分 (#2487361)

    >組み込み聞く向け

    クミコミキクムケクミコミキクムケ正しい文字になあれ

  • by Anonymous Coward on 2013年10月31日 10時58分 (#2487371)

    走行パターンに合わせて燃調マップを変えているが、全て
    のパターンをテストしきれているとは思えないのだな。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...