202Ｘ年3月10日、アメリカ国土安全保障省は3月8日から連続して発生している高速道路での追突事故の原因の多くは車載コンピューターのウィルス感染によるものだとする発表を行った。このウィルスに感染した車は最悪の場合ドライバーの加減速の操作とは関係なく急加速することがある。ウィルスはインターネット経由で車載コンピューターンのソフトウェア保守を行った際、保守ソフトウェアから感染させられたものと見られる。同省ではアルカイダによるサイバーテロの可能性を排除しないとしている。


公聴会でトヨタ車の急加速を証言するロンダ・スミスさん


トヨタ車の急加速事故

冒頭の話はただのＳＦですが、トヨタの豊田社長がトヨタ車の急加速による事故に関連して、アメリカ下院公聴会で証言をさせられたことは広く報道されました。この問題は中間選挙をにらんだアメリカ議会の政治ショーだとか、ＧＭやフォードを助けようという陰謀だとか、トヨタ寄りというよりかなり被害者意識を前面に出した報道も日本側では目立ちました。

これに対しアメリカの報道姿勢もそれほど冷静なものではなく、トヨタを人命軽視の隠蔽（いんぺい）体質があると「悪玉」にして非難するものが大勢でした。ただ、企業を悪者にすること自身はトヨタが日本企業であったからとは必ずしも言えません。アメリカにはある意味日本以上に反大企業の風土があるからです。

日本でもリンナイのガス湯沸かし器での不完全燃焼による死亡事故、三菱自動車のトラックから車輪が脱落して起きた死亡事故などでは両社はかなり徹底的に叩かれました。外国企業の起こした話ではシンドラー社製のエレベーターの事故で高校生が亡くなった事件の際、同社の日本法人の対応ぶりに非難が集まりましたが、本社との距離が問題になったという点では、今回のトヨタのケースはシンドラー社の場合に近いかもしれません。

しかし、多くの報道がなされている中で、事故の原因が本当にトヨタの責任にあるものか、そもそも一体何が問題だったか、をちゃんと説明したものは、日本ではあまりないように思えます。公聴会で、議員たちはETCSの誤動作の可能性をしつこく追及したのですが、ETCSとは何か判っている日本人はあまりいないのではないでしょうか。

日本でもアメリカでの騒ぎの余波の形でプリウスなどのハイブリッドカーのブレーキの問題でリコールがありました。日本のプリウスのリコールとアメリカ下院での公聴会で討議された急加速の問題に技術的関連があるのかないのかも広く理解されているような話ではないようです。

結論から言えば、二つの問題は技術的には全く無関係です。プリウスがリコールになったのはハイブリッド車特有の回生ブレーキ（制動時のエネルギーを電池に貯め込むブレーキ）と通常のブレーキの切り替えによっておこる「制動感覚のずれ」があったからです。そもそもそんなことがリコールになるような問題なのかというレベルの話です。

これに対しアメリカの公聴会で取り上げられたのは、トヨタ車で「急加速が起きる」というクレームが相次いでいて、実際死亡事故も起きたという問題です。これがアメリカで疑われているようにETCSの誤動作によるものなら、日本でも同じような事故は起きる可能性があります（アメリカで売られているトヨタ車のETCSと日本で販売されているものが根本的に違わない限り）。そんな大問題に無関心でアメリカの陰謀のことばかり気にするというのはBSE騒動で焼肉屋が空になった国にしては随分とのんびりした話ではないでしょうか。

ETCSに責任はあるのか

カリフォルニアで起きたレクサス車の死亡事故では、車はディーラーから代車で借りたもので純正ではないフロアマットが付けられていました。トヨタの考えは純正でないフロアマットがアクセルペダルと干渉を起こしてアクセルが戻らなくなって急加速を起こしたのだろうというものでした。メーカーには責任がないというのが当初のトヨタのスタンスだったわけです。

しかし、その後クレームが相次いだこともあり、トヨタはフロアマットについてユーザーに注意を喚起するとともに、フロアマットとアクセルが干渉を起こさないように、アクセルの形状を変更するリコールを行いました。

ところが話はこれでは収まりませんでした。ETCSという電子的にアクセルを制御する機構が疑われたのです。ETCS（Electric Throttle Control System）とは電子的にスロットルつまりアクセスを制御する機能です。そしてETCSの頭脳になるのはコンピューターです。



上の図の左にあるように、従来の車の加減速や方向変換はすべて人間がコントロールしていました。ETCSがあると車の加減速の命令を出すのは人間とコンピューターの二つになります。現代の車ではABS（スリップ防止ブレーキ）ようにブレーキもコンピューターの命令によって制御されます。

ABSがあると急ブレーキを踏んで車がスリップしそうになるとコンピューターがブレーキを緩めて「ポンピング」のようなブレーキングを行います（プリウスのリコールはABSと回生ブレーキの組み合わせで起きた現象に対するものです）。

ETCSは車を一定速度に保つクルーズコントロールと呼ばれる機構のために導入されました。ETCS以前にもクルーズコントロールはありましたが、機械的な制御が主流でコンピューターは使用していませんでした。ETCSは機械式に比べ経年変化での摩耗などによる誤動作の可能性が小さく、本来は機械式よりすぐれた方式と考えられています。

クルーズコントロールよりさらに進んで、車間距離を測定するセンサーと組み合わせたアダプティブクルーズコンロール（ACC）では、前車との車間距離を一定以上に保つ機能が提供されます。ACCがあると前の車との車間距離が縮まると自動的にブレーキが働き、前の車がいなくなると所定の速度まで加速してくれるので、高速道路ではハンドル操作以外人間はほとんど何もすることがなくなってしまいます。

前に急に車が割り込んできても、ACC搭載車ではスムーズに車が減速してくれるので、追突の危険がずっと小さくなります。渋滞で車が団子になる原因は、前方の車の減速に対して僅かにドライバーの反応が遅れることが積み重ることなのですが、ACC装着者が増えるとそのような渋滞は大幅に減ることが実験で確かめられています。

便利極まりない機能ですが、クルーズコントロールにせよACCにせよ人間の代わりにアクセルを踏んでくれる（正確には踏むのではなくガソリンの供給量を制御する）のはETCSですから、ETCSが誤動作を起こすと「急加速」が起きる可能性はあります。事故が起きた時、自動車の歴史の中では新参者のETCSが疑われたのは止むえない面があります。

怪しいと疑ってもETCSがどんな時に誤動作を起こすのか特定するのは簡単ではありません。そこでNTHS（National Highway Traffic Safety Administration：アメリカ高速道路交通安全局）はNTHSにクレームの上がったトヨタの急加速の事例を集めて、統計上ETCSの欠陥の可能性があることが有意に証明できるか調査しました。

しかし、統計的にはETCS装着車が同型の非装着車と比べて、急加速の事例が多いという事実は確認できませんでした。NTHSの事例を見る限り、急加速は少なくとも大部分はフロアマットか何かETCS以外の別の原因と考えるのが妥当です。

にもかかわらず、NTHSは「これで終わり」とは言ってくれていませんでした。たとえ大部分の事故にETCSが無関係でも、全ての急加速現象がETCSに全く関係ないとは断定できないからです。NTHSは下院で急加速の証言したロンダ・スミスさんのレクサスを購入してさらに調査することにしました。恐ろしい急加速を経験したはずの車が、事件後も使用され、さらに転売されて今も走っているというのは奇妙なのですが（公聴会でなく裁判だったら、トヨタ側の弁護士はスミスさんを厳しく追及したはずです）、話は技術論より政治的な色彩を帯びてきており、簡単に事態を収束できなくなってしまっているのです。

車に二人のドライバーがいる

ACC付きの車を運転すると車がまるで意志を持っているような気分にさせられます。車によってはACCで車が急減速するとハザードランプが点滅して後続の車に危険を知らせるのと同時に、シートベルトが締まる機能が付いているものまであります。頼りになる助手のようなものですが、もしその助手が異常行動を始めたらどうすればよいでしょうか。

昔のように人間が全ての車の制御を行っていれば、様々な状況への対応は人間が行います。人間は間違いやすく不完全な生き物ですが、どんな状況でも柔軟に対応できるという点ではコンピューターに比べて圧倒的にすぐれています。

これに対し、コンピューターはプログラムで決められた動作しか行えません。もしもプログラムが全く想定していない条件が発生するとどのような動きをするかはわかりません。たとえ設計上想定はしていても、プログラムが想定の通り正しく書かれているかはテストするしかありません。テストをしてもテスト自身が間違っている可能性もあります。

車の制御を行うコンピューターは、非常に数多くの情報を同時にしかも高速に処理する必要があります。これはソフトウェアのテストを設計する立場になると相当厳しい環境です。同時に処理する情報が多いということは、すべての入力の組み合わせをテストすることは難しいというよりできないということです。

トヨタは「われわれのテストではETCSによる急加速は再現できない」と言っています。ETCSが悪いのではないかという疑いは、クレームデーターの統計的な解析や、ETCS自身の慎重な再チェックでほぼ完全に否定されているのに問題が尾を引いているのは、政治的な理由だけでなくコンピューターのソフトウェアは欠陥がないと証明することは本来できないからです。


本当は「品質」の問題ではない

トヨタは今回のリコール騒動を受けて、「品質保証のプロセスの全てを見直す」と言っています。騒ぎが大きいのでこのような対応をするしかないのでしょうが、将来を考えると従来の生産技術を磨きあげる形の品質改善とは次元の違ったアプローチが必要です。

まず、ETCSにしろ何にしろコンピューターのソフトウェアは製造工程での欠陥は生じないということがあります。ソフトウェアの欠陥は、開発の段階で埋め込まれてしまうため、工場がいくら頑張っても関係ありません。工場はソフトウェアのダウンロードをしているだけです。工場での改善活動はソフトウェアでは無意味です。ついでに言うとソフトウェアに在庫はありませんから、トヨタの代名詞にもなっているカンバン方式も関係ありません。トヨタの大きな強みは生かされないことになります。

車に二人ドライバーが乗るようなコンピューター化の時代にトヨタが必要としているのは、巨大なソフトウェアを設計開発しテストする技術です。ソフトウェアのテストとは言っても車はワープロのようなPCで手軽にテストできるようなものではありません。実環境に近い大量のテストケースを設定して効率的にテストする必要があります。

もっと重要なのはマシンインターフェースです。iPhoneのインターフェースを見て驚いた人は多いと思いますが、自律的に車を制御しようとするコンピューターとどのようなインターフェースでコミュニケーションするかはこれからますます大切になってきます。

プリウスのリコールで問題とされたブレーキの効き方のタイミングは、車に詳しい人にはバカバカしい話でしょう。車に詳しくない平均的なドライバーにとっても気になるようなものではなく、一部の妙に神経質なユーザーだけがクレームを付けたと思われます。

しかし、プリウスのリコールがソフトウェアの書き換えだったことからもわかるように、ユーザーの感覚に触れる部分の多くはコンピューターが制御しています。その意味でプリウスで起きた問題はアクセルペダルを取り換えるアメリカのリコールより将来の品質問題の典型を示しています。

プリウスのリコールは従来の品質改善アプローチでなくせるようなものではありません。テストして見つけることもできなかったはずです。このような問題の発見は製品が市場に出て大量の一般ユーザーが使用して初めて表面化するようなものです。

PCや携帯電話では試作段階のソフトウェアを一般ユーザーに使用してもらい不具合を修正していくのは普通です。ソフトウェアの修正はインターネットを介して提供され、初期ユーザーのプログラムも最新版に更新されていきます。

同じことを車で行うと四六時中数百万台のリコールが発生してしまいます。メーカーの費用も膨大にかかりますし、ユーザーの負担も軽くはありません。ネットワークを通じてソフトウェアの修正を行えることが必要になってくるでしょう。

車載コンピューターの保守をインターネットで行うようになった場合、冒頭のような事件が発生する危険はないでしょうか。他の機器の例では東芝のDVDプレーヤーがウィルス感染したという報告はありましたが、携帯電話やWindowsの保守でウィルスが大規模に感染したという事例はまだありません。

しかし、ETCSのように能動的に車の動作を制御するコンピューターの誤作動は致命的な事故を起こす危険があります。このようなソフトウェアは「狂った」コンピューターに車が乗っ取られることがないように、携帯電話に搭載されるものとは根本的に違う設計基準を適用する必要があります。携帯電話の通話が切れるのは困りますが、車が暴走するのはそれとはわけが違います。

アメリカ下院の公聴会で繰り広げられたETCSの議論は、「絶対に安全だと証明されない限り、原発は認めない」というのと本質的には同じです。技術的にはナンセンスで政治的な意味しかありません。しかし、だからと言って原発の安全性を徹底的に追及しなければならないのと同じで、車載コンピューターの信頼性を高める努力はより一層必要です。今や車には二人のドライバーがいるのです。