酒と蘊蓄の日々

The Days of Wine and Knowledges

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

釈迦に説法 (その1)

今回のトヨタバッシングに対してアップルの創業者の一人であるスティーブ・ウォズニアック氏はトヨタを擁護する発言を重ねていました。彼はこれまで9台のプリウスを購入し、「私はプリウスを愛している」と公言して憚らない人物です。が、その一方で「トヨタは機械技術は素晴らしいが、ソフト技術は別物。IT業界の人間は問題を理解している」とも述べています。これはいくら何でも言葉が過ぎるでしょう。

自動車に電子制御が取り入れられるようになったのは決して最近のことではありません。真空管は振動や衝撃に弱く、当初のゲルマニウムトランジスタは熱に弱いといったネックがありましたが、この時代から自動車の制御に使えないかという試行錯誤が重ねられてきました。

デンソーの元技術者である河合寿氏がこの業界に入った頃はまだゲルマニウムトランジスタの現役時代で、熱に弱いこれを基板に半田付けする際に何個か壊してしまい、「さすがに、これでは自動車に使用できないなぁ…。そう嘆いていたところに、登場したのがシリコン半導体です。これなら半田付けで壊れる心配をしなくて済みますし、何より自動車に使える! と喜んだ記憶があります。」と語っています。

集積回路が登場する以前からトランジスタなどを用いたアナログ回路による電子制御は既に行われていました。有名なボッシュのDジェトロニックは世界初の電子制御式燃料噴射装置で、これが登場したのは1967年のことです。Dジェトロニックの「D」は、ドイツ語で「圧力」を意味する「Druck」のイニシャルになります。

Dジェトロニックはその名の通り、インテークマニホールド内に設けられた圧力センサによって空気量を検出し、ディストリビューターと同軸のトリガーコンタクトによってエンジン回転数を検出し、他にもスロットルバルブの開度や水温などの情報も拾っていましたが、噴射量を制御したのはやはりアナログ回路で、後のデジタル式に比べるとかなり大雑把なものでした。燃料噴射も各筒個別ではなく、4気筒の場合は2気筒ずつのグループ噴射でした。

大きな転機となったのは1970年代でしょう。1970年12月にアメリカで改正された大気汚染防止の法律、通称「マスキー法」によって自動車の排出ガスに厳しい規制が設けられ、エンジンの制御をきめ細かくしていかなければならない方向へ導かれました。また、この頃からマイクロプロセッサが発展したことで状況が大きく変わっていきました。

1976年にはインテル製の4ビットマイクロプロセッサを使用したイグニッションの制御装置がGMから発表されたのを皮切りに、燃料噴射や点火などをデジタルで制御する技術開発が進められ、日米欧の主要メーカーはこぞってこの分野へ注力していきました。トヨタグループのデンソーも1960年代にはIC研究室を開設しており、自動車のデジタル制御技術を開発する準備を進めていました。

世界で初めてエンジンを総合的にデジタル制御する乗用車が市販されたのは1979年のことで、日産の430系セドリック/グロリアにECCS(Electronic Conetrated engine Control System:エックス)と称するシステムが採用されました。このシステムの生産を担当したのは日立オートモティブシステムズになります。

日産セドリック-セダン280Eブロアム
日産セドリック(430系)セダン280Eブロアム
1979年6月に発売されたセドリック/グロリアのL28E型エンジンは
世界で始めてマイクロプロセッサによる集中制御システムが導入されました。
同年10月に追加されたL20ET型エンジンは乗用車として日本初のターボ過給で、
私の父が乗っていた初代レパードのエンジンも全く同じものでした。


今回の騒動で「エンジンの電子制御技術が導入されたのは10年くらい前から」というような報じかたをしているメディアが多かったのには驚きましたが、アナログ電子制御は40年以上の歴史があり、マイクロプロセッサによるデジタル制御も30年以上の歴史があります。私が小学生のとき、父が買った初代の日産レパード(F30系)も直列6気筒のL20ET型エンジンをターボで過給し、ECCSで燃料噴射や点火を制御するといったことを既にやっていました。

一方、ウォズニアック氏がスティーブ・ジョブズ氏らとアップルコンピュータを法人化したのは1977年のことです。彼がローカルなコンピュータクラブで知り合った仲間と安価なパソコンの開発を始めるより早い段階から、自動車業界では社内に専門的な部門を設けたり、グループ内外の電装メーカーと共同で電子制御システムの開発を進めていたのです。こうした経緯も踏まえず、自分たちのほうが専門的だと思い込んでいるのは少々滑稽です。

もちろん、IT業界の革命児たちの底力も侮れません。風通しが良いとはいえない自動車業界の中だけでやってきた人たちと全く違うアプローチになる革新的なシステムを創り上げることができるかも知れません。

が、「IT業界の人間は問題を理解している」というような偉そうなことは、実際にシステムを試作し、実際にクルマを動かして見せ、自分たちの技術のほうが優れているということを具体的に示してから言うべきです。ウォズニアック氏はまるで「自動車メーカーはITの素人」とでも言わんばかりですが、それは自動車業界を見くびり、関係者を侮辱するものです。彼は素人ゆえ自動車の電子制御技術を簡単に考えすぎているのかも知れません。

今日の自動車はマイクロプロセッサを数十~百個以上搭載しています。パワーウィンドウやドアミラーなどにもその動きを制御するサブシステムが設けられ、個々に専用のプロセッサを備えており、それらをCAN(車載LAN)で統べる仕組みになっています。簡易なサブシステムはOSといえるレベルの複雑なものになっていません(その必要もないでしょう)が、エンジンやトランスミッションなどにはリアルタイムOSが採用されるようになっており、近年はその標準化に向けた作業が進められています。

車載制御基盤ソフトの標準化に向けていち早く動き始めたのはヨーロッパで、OSEK/VDXやMISRA、HISといったコンソーシアムがあり、これらはAUTOSAR(the Automotive Open System Architecture:オートザー)に踏襲されています。

日本でも経産省が音頭をとって多くの自動車メーカーや電装メーカーなどが参画するJasPar(Japan Automotive Software Platform and Architecture:ジャスパー)という社団法人が立ち上げられました。AUTOSARとJasPerは対立関係にあるわけではなく、JasPerは「海外の標準化団体に対する日本企業のワンボイス化」を目的のひとつとしていますので、基本的に両者は協調関係にあります。

AUTOSARにはコアパートナーとしてトヨタが、プレミアムメンバーとしてホンダ、マツダ、デンソー、日立、富士通、NECエレクトロニクスなど日本企業も数多く名を連ね、その殆どがJasPerの参画企業でもあります。先月行われたJasParの成果発表会で披露された試作車もAUTOSARをベースとしたJasPar仕様というべきシステムを搭載したものでした。

JasPar成果発表会の様子
JasPerの開発成果発表会の様子
2010年2月4日に東京・台場にある日本科学未来館で
自動車向け共通基盤ソフトウェア開発事業成果発表会が開催されました。
写真左からステアリング系制御にこれを適用した日産フーガ、
ITS(高度道路情報システム)系制御に適用したホンダ・レジェンド、
安全制御に適用したレクサスLS460になります。
いずれもAUTOSARをベースとし、個々の制御系ソフトウエアに最適化した
JasPar仕様の車載制御共通基盤ソフトを搭載しているといいます。


ウォズニアック氏のようなIT屋が自動車業界にアドバイスしたいというのなら、まずはこうした総合的なシステム面からアプローチすべきでしょう。いきなりエンジンの制御系など専門的な分野に口出しするのは適切ではないといいますか、身の程を弁えていないように感じます。

また、彼は「自動車もコンピューターが入ったほかの製品と同じように、トラブルが起きそうなときは一度シャットダウンしてシステムを再起動させるのがいいと助言した」とも報じられていますが、AUTOSARはエラー処理においてスタートアップ/シャットダウンシーケンスに対応しています。 ウォズニアック氏も口を挿むならもう少し勉強してからにしたほうが余計な恥をかかなくて済んだと思います。

メディアがこうした素人の発言をそのまま垂れ流してしまうのは何故なのか、それは考えるまでもありませんね。

(つづく)

コメント

石墨さん、
石墨さんの記事を読んで、改めて機械屋とソフト屋は違うのだなと感じました(もちろん私はウォズニアック氏のような大物ではありませんが)。自動車のコンピューター制御が進んだことに関する懸念は私もブログに書いたのですが(http://realwave.blog70.fc2.com/blog-entry-241.html)、今回のトヨタのリコールでも明らかになったようにソフトの問題は車を作った当のトヨタが「急加速はありえません」と断言できないことです。突きつけられた証拠のいい加減さを証明したり、テストを積み重ねることはできるのですが「ソフトにバグはありません」ということは事実上不可能です。トヨタは不可能なことをやれと言われて苦しんでいるわけです。

車が電子機器に無縁なわけではありません。車は電子部品の最大のユーザーですし、ソフトの点でも銀行や航空会社のシステムを上回るような巨大システムになっています。しかし、機械的な制御を電子的な素子やマイクロプロセッサーに置き換えるのと、統合的な制御システムを作るのは根本的な違いがあります。前者は機械部品同様パーツとしてテストが可能なのに統合システムはそうはいかないということです。機械でも統合テストは必要ですがソフトははるかに重要になります。部分的な不具合が全体に影響を与える可能性が機械よりずっと大きいからです。

私はETCSがソフトにバグがあると本当に急加速が発生する可能性があると聞いて驚いています(間違っていたら教えてください)。もしそんなに危険な代物なら、ウォズニアック氏の言う通り「トラブルが起きそうなときは一度シャットダウンしてシステムを再起動させ」る機能が是非必要だと思います。昔のメインフレーム時代のコンピューターは「EMERGENCY PULL」というスウィッチがありましたPULLになっているのは、間違って押してしまうことがないようにという人間工学的な理由です。自動車もコンピューター制御を強制的にオフにして停止させる機能があった方がいいでしょう。

コンピューター屋として忠告しておくとリセットが完全に機能するには、HDDなどに今までの状況を記録していることが影響を与えないように配慮することが必要です。ナビはエンジンを切っても一度設定した目的地は覚えていますが(そうでないとコンビニに寄ったりできませんが)、緊急リセットの時はすべて忘れるようにすべきだということです。機械屋の王様の自動車屋さんもソフト屋の意見を聞くのは無駄ではないのではないかと思います。

1980年代の半ば頃から自動車のカタログを集めたことがありまして、その頃から既に、やたらと「電子制御○○」という言葉が踊ってましたね。「電子制御」って何だかよく分からないけど、何となく凄そうだなという印象を持ったことだけはよく覚えています。
ただ、現代の自動車は電子制御技術の塊みたいなものだというのは、素人でも感じるところがありました。

もちろん、EFIだのEGIだのという電子制御燃料噴射装置の名称も当時からありましたので、「エンジンの電子制御技術が導入されたのは10年くらい前から」などと言われると、言葉を失ってしまいますね。
不勉強・不見識という言葉では足りないくらいです(苦笑)。

  • 2010/03/17(水) 23:16:02 |
  • URL |
  • わちゃちゃ #JOOJeKY6
  • [ 編集]

いつもブログ楽しく拝見させていただいております。

>「自動車もコンピューターが入ったほかの製品と同じように、トラブルが起きそうなときは一度シャットダウンしてシステムを再起動させるのがいいと助言した」

「人が乗るもの」の電子制御に対する安全保障のレベルを、
甘く考えてるのは、確かに乱暴ですね。

>RealWaveさん
説明すると長くなるのですが、自動車の制御系は「優先順位」をつけ「冗長系」を構築しています。
車の基本性能にかかわる「走れない、曲がれない、止まれない」といった故障は、基本的に事故るくらいなら制御を止めるが原則で設計がされています。ETCSに起因する異常を検知すれば、モータへの電流をストップさせる等の方策で、スロットルが全閉になるように作っているはずです(エンジンは専門外なので詳しい部分は推測ですけど)。
また、ペダルの踏み込み量を検出するセンサを2つ使ったりして誤検知を防止したり、「エンジンを動かす」という機能も、いくつかのコントロール系(スロットル制御、インジェクション制御など)が分担し、相互に監視をしながら動かすようにしたりして、スロットルが異常な動きを検知したら燃料の噴射を止めるとか、故障の形態に応じて、階層構造的に最悪の事態を防ぐように構築されてるものです。
そんな訳で、ドライバーがペダルを踏んでないのに急加速するなんて、物理的にペダルがマットに絡まったとかでなければ、可能性は極めて低いのです。
ただ、指摘されてる通り、最初から犯人扱いされてるので、何を言っても信じて貰えないのが、トヨタの苦しい所ですねぇ。

余談ですが、「故障判定の閾値を厳しく設定しすぎて、経年劣化や製造ばらつきの影響で、本当は異常でもないのに誤検知してシステムが停止する」とかの方が、市場でクレームになることが多くて苦労します。不具合を未然に潰し、いかに最適なスペックに落とし込めるかが、各社の技術力や蓄積されたノウハウなんですよ。
外国メーカーよりも、国産のメーカーの方が、この辺をキチンと数値化出来てると思うんですけどね。

  • 2010/03/20(土) 01:46:49 |
  • URL |
  • 若手エンジニア #-
  • [ 編集]

若手エンジニアさん

>説明すると長くなるのですが、自動車の制御系は「優先順位」をつけ「冗長系」を構築しています。
車の基本性能にかかわる「走れない、曲がれない、止まれない」といった故障は、基本的に事故るくらいなら制御を止めるが原則で設計がされています。ETCSに起因する異常を検知すれば、モータへの電流をストップさせる等の方策で、スロットルが全閉になるように作っているはずです。


多分そういうふうにはなっているだろうとは、素人の私にも想像がつきますが、それらに絶対の自信があればトヨタもそう言えばお終いのはずです。言っても聞いてもらえないだけかもしれませなんが、システムを外側からブレークする仕組みでない限り「それがバグったらどうする」という質問に答えられないのではないでしょうか。

システムを二重化、三重化と冗長度を高めても、通常必ずどこかに一個しかないコントロールポイントができてしまいます。また、原子力発電所や航空機の事故でも、冗長度を持たせたつもりでも、状況が悪いとあっさり幾つもの砦がいっぺんにつき破られてしまいます。だから事故が起きてしまうのです。

自動車は一度にせいぜい数人しか死にませんが、数が多いので航空機並みの被害が出る可能性があります。安全性については極めて高い水準が要求されていると考えるべきです。

実際に自動者の信頼性を高めるために、外部のOSの設計者や銀行システムの設計者を連れてきても、そんなに有効ではないでしょう。ただ、冗長度と一系統しかないコントロールポイントの作り方の問題点の発見やブレーク方法の有効性のアセスなどは自動車の専門知識がなくてもアセスできるでしょう。少なくとも燃焼工学の知識が必要には思えません。

その他、テストの方法については外部の専門家を呼ぶのは悪くないでしょう。ソフトウェアのテストはまだ全然完成した技術ではないので、その分色々な人の意見を聞く価値があります。技術者は心を柔らかくすることが肝要ですぞ。

RealWaveさん>

RealWaveさんがITの専門家でいらっしゃるのは貴blogのプロフィールで存じておりました。私などが意見するとそれこそ「釈迦に説法」になってしまう恐れもありますが、私の知る範囲でリプライを書かせて頂こうと思います。


>自動車もコンピューター制御を強制的にオフにして停止させる機能があった方がいい

そうした仕組みにしてしまうとバイワイヤで動いている部分は無効になり、操作が受け付けられなくなってしまいますから、単純なハナシではないかも知れません。

現状でバイワイヤ化されているのはスロットルとシフトくらいで、ブレーキについてはプリウスとて完全なバイワイヤ化はされておらず、最終的には摩擦ブレーキを機械的に動かしています。例のリコール騒動のときも踏み込めばちゃんと止まるとトヨタが一所懸命説明していたのはそういう仕組みになっているからですね。

ステアリングのバイワイヤ化も現状では身障者向けのいわゆる福祉車両など特殊な分野でジョイスティックを用いているケースがあるくらいで、一般向けの車両でバイワイヤ化はまだ先のハナシになるでしょう。

しかし、流れは航空機と同様にバイワイヤ化へ向かっていますから、複数の安全機構を設けつつバイワイヤ化の方向へ進むと思います。そうした流れでいきますと、単純にコンピュータ制御をオフにするというわけにもいかないでしょうね。

現状としても、コンピュータ制御をオフにするとエンジンは止まってしまいますから、ステアリングやブレーキの倍力装置が働かなくなります。仮にエンジンが暴走を始めたとしても、トランスミッションをニュートラルにしてしまえば動力は車輪に伝わらなくなります。倍力装置の働く状態でブレーキやステアリングが操作できたほうが安全といえるかも知れません。

問題はMT車を除いてシフトも既にバイワイヤ化されているところで、こちらにも同時にトラブルが起こったら暴走を続ける恐れがあるということです。例の公聴会で証言したスミス夫人のハナシが本当であれば、こうした状況になっていたということですから、それを防ぐにはコンピュータを止めるよりもトランスミッションを手動でニュートラルにできるレバーのような機械的な仕組みを設けたほうが良いかも知れません。

やや余談になりますが、現在の日本ではABSをキャンセルするスイッチの装備が認められなくなってしまいました。2008年に自動車検査審査事務規程が一部改正になったときに「専ら乗用の用に供する自動車であって乗車定員10人未満のものについて、ABS(湿潤路面等におけるタイヤの滑りを防止する装置)の機能を作動不能とするための装置の備付けを禁止する」と明記されてしまったんですね。

何故かは知りませんが、走り屋の人たちの中にはブレーキングの最中にABSが出しゃばってくるのを嫌ってこうしたキャンセルスイッチを付けていることもありますので、もしかしたら「ABSのキャンセルスイッチ=走り屋のアイテム」という短絡した図式で考えているどこかの脳細胞が硬直した役人が決めてしまったのかも知れません。

いずれにしても、日本においてはABSについて「コンピューター制御を強制的にオフにして停止させる機能」を設けると車検に通らないということになってしまいました。こういう役人の判断が入ってくると自動車メーカーの一存では済まないかも知れません。


>緊急リセットの時はすべて忘れるようにすべき

これはどの領域までのハナシなのかよく解りませんが、現在のクルマは何かエラーがあった場合、そのログを記録しておく仕組みになっています。こうしたログを辿ればトラブルシュートがやりやすくなるというわけですね。

フラッシュメモリが安くなった最近はどうか知りませんが、少なくとも私が自動車業界にいたときはこうした情報を揮発性のメモリに書き込んでいました。私が関わった特装車には冬場しか使用しないものもあって、バッテリー上がりを防ぐためにカットスイッチを設けることも少なくありませんでしたが、ディーラーのメカニックには「エラーログが消えるからそんなものを付けないで定期的に充電するようユーザーを指導して欲しい」と言われたものです。

また、現在は多くのクルマにEDR(イベントデータレコーダ)が搭載されているといいます。タクシー会社や大手のトラック輸送会社などが導入している画像や音声の他にも様々な情報を記録しておくドライブレコーダの類とは若干異なりますが、ブレーキやアクセル、ステアリングなどの動作状態を記録してメモリに保存することができるというわけです。

トヨタはこれまで警察や監督官庁から原因究明の要請があった場合に限ってユーザーの了解を得た上で、EDRに記録された情報を解析していたといいます。それはこうしたデータも個人情報であると考え、ユーザーに断りなく利用するのを控えていたそうです。

しかし、今回の一件を受けて「これからは安全確保のために世界で積極的に使う」とトヨタは公言しました。国交省も確か2~3年くらい前だったと思いますが、EDRの技術要件を策定しました。やはり事故解析などに用い、安全性を向上させることが目的だと説明されていましたので、これからそうした利用が進むのは間違いないでしょう。

実際の事故は殆どがドライバーのミスや道路の状況などに原因があって自動車のトラブルに属するケースは数%だといわれています。そのうち電子的なトラブルが原因となるケースはさらに少なく、ゼロに近いのではないかと思います。「緊急リセットの時はすべて忘れる」という仕組みにしてこうした情報が残らなくなる恐れが生じても良いのか、非常に難しい判断になるでしょう。


>冗長度と一系統しかないコントロールポイントの作り方の問題点の発見やブレーク方法の有効性のアセスなどは自動車の専門知識がなくてもアセスできるでしょう。

>その他、テストの方法については外部の専門家を呼ぶのは悪くないでしょう。ソフトウェアのテストはまだ全然完成した技術ではないので、その分色々な人の意見を聞く価値があります。技術者は心を柔らかくすることが肝要ですぞ。

この点について私も基本的に同意見です。本文で「ウォズニアック氏のようなIT屋が自動車業界にアドバイスしたいというのなら、まずはこうした総合的なシステム面からアプローチすべき」と書いたのは、こうした分野なら自動車業界以外からも有用な意見を得られる可能性があると思ったからです。

ただ、ウォズニアック氏のコメントは若手エンジニアさんが解説して下さったフェイルセーフなど専門分野にかかる内容でありながら、如何にも素人じみた大雑把な指摘でしかなく、そのくせ解った風な口ぶりだったのが私には強く引っかかりました。IT業界の超大物のコメントであるゆえ、これを伝えたメディアの扱い方も専門家の意見と誤解される恐れがある舌っ足らずぶりです。私はそれを看過することができませんでした。




わちゃちゃさん>

私も中学生くらいのとき、近所のディーラーを巡ってカタログ集めをしました。普通のカタログでも500円くらいはするものですから、ディーラーにしてみれば商売に直接繋がらない子供にカタログを配っても余計なコストがかかるだけで大したメリットも見込めないでしょうが、案外親切にしてもらった記憶があります。ま、ホンダなどは本カタログとは別に簡易的なカタログが別に用意されていて、子供には滅多に本カタログを与えないみたいなこともありましたが。(現在はどうか知りませんが。)

私たちが普段利用しているものの多くに電子制御が入っていると思いますが、自動車などはかなり早い段階からそれが進められてきました。私が自動車業界に入ったばかりの頃はトラックやバスなど大型車のディーゼルエンジンはまだ機械式ガバナを用いて燃料を吹いていましたが、度重なる排ガス規制であっという間に電制が当たり前になりました。

そういう実態も知らずに東京都の「ディーゼル車NO作戦」など勉強不足の勇足キャンペーンにメディアも思いっきり乗せられたわけですね。あのときは日経新聞の誤報で誤解したユーザーに正しい情報を説明して回るなど私も散々振り回され、彼らの不勉強には個人的な恨みもあります。もっとも、私などに比べたらメーカーで排ガス規制に対応するスケジュールを管理されていた方のほうがもっと振り回されたわけですから、傍で見ていても気の毒に思いましたね。

私がメディアのいい加減な報道に対していつも厳しい言葉をぶつけているのはこうした経験も影響しているのは確かです。




若手エンジニアさん>

このところ仕事がバタついていて放置状態だったところ、適切なフォローを頂きまして有り難うございます。

>「故障判定の閾値を厳しく設定しすぎて、経年劣化や製造ばらつきの影響で、本当は異常でもないのに誤検知してシステムが停止する」とかの方が、市場でクレームになることが多くて苦労します。

私がいま務めている会社は中小の機械メーカーで自動車のように大きなマーケットを相手にしているわけでもなければ、個人ユーザーではなくプロのオペレーターが扱う機械になりますから、特にフールプルーフに関する機能については自動車メーカーほどシビアではありません。が、逆にプロゆえにシステムが出しゃばりすぎるとクレームが来ることがある難しさもあります。

ま、それでも「ここんトコ、何とかしてよ」みたいなクレームに個別対応するとか、マーケットが小さい分、フレキシブルに動けます。自動車のサービスキャンペーンに相当するような改修でも監督官庁に届出て状況を報告するとか、七面倒くさい手続きを踏まなくて済みますから、全般的には緩くて助かっていますね。

  • 2010/03/20(土) 22:58:36 |
  • URL |
  • 石墨 #PxDbU/1w
  • [ 編集]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://ishizumi01.blog28.fc2.com/tb.php/553-bd6bd097
この記事にトラックバックする(FC2ブログユーザー)

FC2Ad

まとめ

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。