内山田副社長の証言文要旨を３日の朝日新聞で読んだ感想だ。

”エンジン制御に関連する２つのＣＰＵが、正常に動いているかを互いに監視し、不正常な動きを

察知すると、運転者に異常を知らせ、フェールセーフモードが作動する”

素人はこれを聞いて安心するだろうが、

私が設計監査の立場であれば、不安に駆られて以下を質問する。

１）センサーは二重化されているのか

　ＣＰＵが２つ有っても、それの入力データが１つなら、そのセンサーが故障すれば暴走するからだ

２）ケーブルやコネクターはどういうのを使用し、専用配管等で覆っているのか

３）２つのＣＰＵの結果の突合せとその判断はどのようにしているのか

　２つのＣＰＵが違った結果を示した時、どういう判断（処理）をするのかは難しいのだ

　すぐに停止させるなら簡単なのだが、実際はそうも行かないからだ

　例えば、１００ＫＭで走っている時、結果がおかしいからと言ってエンジンを停止できないだろう

４）異常を察知した場合は、運転者に異常を知らせるだけか、それは音か表示か

５）異常を察知した場合は、運転者に異常を知らせ、フェールセーフモードが作動するらしいが

その作動モードと、異常項目の対応処理はどうなっているのか

６）ＣＰＵへの入力データに御互い相容れない情報があった場合どう処理しているのか

例えば、

速度＝５０ＫＭ、エンジン回転数＝３０００ｒｐｍ、クラッチ＝接続、ギア＝ドライブ、アクセル＝開放

ブレーキ＝開放、サイドブレーキ＝開放

この例だと、ソフトウエアエンジニアはどういう結果を出すソフトを作るのかという事だ。

速度計が故障と判断するのか、回転計が故障とするのか、クラッチが未設続とするのか。

更に、複数のセンサーが故障していたらどうなるのだ、故障とどう判断するのだ。

７）相互監視回路も二重化されているのか

８）一方のＣＰＵが故障したと判断した後では、どういう処理にしているのか

・故障でエンジン停止

・１つのＣＰＵで運転継続

・１つのＣＰＵで運転継続するなら、その後にそのＣＰＵが暴走したらどうなるのか

９）ＣＰＵが出力した信号は、入力として取り込み、突合せをしているのか

質問内容は、限りなくコンピュータシステムの構築に関わる事柄になる。

政治家ではなく、専門技術者が質問に立ち、その返事に対して、追加質問をしないと原因は分からない。

端的に云うと、航空機並みの安全性優先のシステムになっているのだろうかという疑問だ。

それでも、航空機は墜落する、人間（パイロット、プログラマ）のミスやミスマッチで。

ＷＥＢ索引で車の電子化に関する資料を探すと、たまたはヒットしたのが、

・自動車用新構造防水コネクタの開発

・車載ソフトウエアの標準化とＡＵＴＯＳＡＲの動向

これらを見ると車はネットワーク・コンピュータそのもののようだし、色々問題がありそうだ。

車一台一台、厳密にチェックせずして、量産品だとして抜き取り検査程度では、不良品が巷に溢れても

おかしくない感じがする。

経験的にコンピュータ制御の製品って、バグだらけ、永遠にバグが出現する。

それとネットワークにもちょくちょく不良がでる。

例えば、以前ニュースでやっていたが、カラスが光ケーブルをつつき、インターネットが出来なくなったとか。

ＡＤＳＬも突然切れる事があるらしいが、そういう原因不明の事がちょくちょく起るだろう。

こういうトラブルが車という世界で起ってもなんの不思議もないと、資料を見て思ったのだ。

最後に

メーカーの責任だと言っているのではないが、

運転者が思いもよらない運転や操作をした場合、バグは出てくる。

その結果が暴走なのかも知れない。

万一、そういう事に陥った場合、エンジンを切るというリセット処理が不可欠なのかも知れない。

安全策としては、システムのリセット釦があってもよい感じがする。

トヨタの副社長になるぐらいだから年配者だろうから、こういう事については無知というか

若いのにお任せで、詳細どころか殆ど知らないと思う。

偉くなるとか、技術革新とかは、そういうものだ。

年寄が頑張っている会社は必ずぽしゃるが、若いのに好き勝手にやらしておくと、この場合は

会社が栄えるか、潰れるかの綱渡りだろう。