トヨタの急加速事故は欠陥だらけのファームウェアが原因?――原告側調査の詳細:ビジネスニュース 企業動向(1/3 ページ)
2007年に米国オクラホマ州で、トヨタ自動車の乗用車「カムリ」が急加速したことによる死亡事故が発生した。事故をめぐる訴訟において、原告側証人として事故原因の調査を行った組み込みソフトウェアの専門家は、裁判で「カムリのエンジン制御モジュール(ECM)のファームウェアに重大な欠陥が見つかった」と報告した。
2013年10月24日、トヨタ自動車の乗用車の急加速による死亡事故をめぐる米国オクラホマ州での訴訟において、陪審団は同社に対し賠償を命じる評決を下した。なお、本訴訟は、10月25日に和解が成立している。
この事故は、2007年にオクラホマ州で、2005年モデルの「カムリ」が急加速し、運転者と同乗者の2名が死傷したというもの。運転者ら原告側は、運転者の意図しない急加速(UA:Unintended Acceleration)があったと主張し、訴訟では、エンジン制御モジュール(ECM)のファームウェアの欠陥をめぐる論争が繰り広げられた。
組み込みソフトウェアはかつて、C言語またはアセンブリ言語を組み合わせて動作させる低レベルのコードだった。しかし今日では、スロットルコントロールなどのように、重要性が高い割に比較的単純なタスクにおいて、最先端のリアルタイムOS(RTOS)や数万ものコードラインが使われる場合が多い。
高い性能が要求され、特に安全性が最重要視される場合、設計やコーディング、試験に関する評価・基準は最も重要な課題となる。欠陥が生じることは決して許されず、確実な安全性が求められる。
もし自動車メーカーが、このような評価基準を放棄して独自の基準を採用し、ソフトウェア(およびハードウェア)設計に不可欠とされる厳格な基準や成功事例、抑制と均衡などを無視するとしたら、一体どうなるだろうか。企業としての信用を失うばかりか、人命を奪ってしまうことにもなりかねない。ソフトウェア開発において、絶対にあってはならないことだ。
組み込み機器向けのコンサルティングを手掛けるBarr GroupのCTO(最高技術責任者)であり、共同創設者でもあるMichael Barr氏*)は2013年10月、EDNの問い合わせに対し、今回の調査結果を明らかにした。Barr氏は同僚とともに、裁判の原告側の専門家証人として徹底的な調査を実施した結果を明らかにした。これは、セーフティクリティカルシステム開発に携わる全ての人々に対する教訓となるだろう。自動車業界や医療機器業界、航空宇宙業界などのいずれの分野においても、欠陥が生じることは決して許されない。
*)Barr氏は、開発者やコンサルタントとしての優れた実績を誇る他、大学教授や編集者、ブロガー、著者として活躍した経歴も持つ。
Barr氏による最終的な調査結果は、以下の通りである。
- トヨタのETCS(電子制御スロットルシステム)のソースコード品質には不備がある
- トヨタのソースコードには欠陥があり、バグも含まれているため、UAを引き起こす可能性がある
- コード品質測定法に基づいた調査の結果、他にもバグが含まれている可能性が明らかになった
- 問題となった自動車の安全装備には欠陥があり、品質に不備がある(「不安定なセーフティアーキテクチャ」であると説明)
Barr氏は、これらの結果を基に、「ETCSに欠陥があったことが原因となり、UAが発生した」という結論を出した。
Copyright © ITmedia, Inc. All Rights Reserved.