CASE Vehicle Safety Design Thought ... "IT VS Automobile" The foolishness of the confrontation composition (response) --Yahoo! News

pause

テスラのFSDが、通行に支障がなければpause標識のある交差点でも徐行しながら侵入するという不具合がリコール対象となった。この問題は既存メーカーでも起こりうるもので、今後の車両開発や安全設計にも関わる興味深い課題を提起している。少し掘り下げてみたい。関連画像を見る◆自動運転車の遵法運転は安全かpause標識のある交差点では、徐行でもそのまま侵入したら大抵の国で違反になる（米国ルールでも違反）。自動運転や安全運転支援の車両だからという免責はない。リコール対象となるのはしごく妥当である。だが思い出してほしい。日産のプロパイロットは高速道路でも厳密な遵法運転を行う。インターチェンジやジャンクション付近で80km/h規制がかかると律儀に減速する（手動でOFFに設定可能）。出口ランプで40km/h制限の標識があれば、高い速度で侵入するとそれなりのブレーキで減速する。この機能を「危険だ」と思った人はいないだろうか。遵法運転は基本だが、現実には制限速度より流れにのった運転のほうが安全という場合がある。リコール対象となった機能は、米国では安全な状態ならばpauseを厳密に守らない現実があることを反映したのかもれいない。もちろん、意思を持つ人間が行う違反と、機械が行う違反は同列に扱えないが、速度制限標識を超えたACCの速度設定が適法または合理性があるなら、自動運転でも同じことは言えるはずだ。リコール対象になるのは妥当だが、少なくともレベル2で制御を行っているテスラFSDに、交差点徐行侵入機能があっても致命的な欠陥と言えるだろうか。ブレーキを踏んだりドライバーが介入すれば済むことで、手動OFFができるかどうかは本質ではない。◆30年前からあるITと自動車業界の確執テスラFSDや車両設計は、歴史ある自動車製造業の安全思想と相容れないという意見を耳にする。じつはこのような議論は今に始まったことではない。古くは1990年代、当時のマイクロソフト社長のビル・ゲイツ氏とGMが似たような論点で争ったことがある。ビル・ゲイツ氏があるカンファレンスの講演で「GMがマイクロソフトの技術を使えば25ドルのガソリンで1000マイル走れる車が作れる」と発言した。これに対しGM側が「そんな車は毎日フリーズし故障のたびに買い替える必要があるのでは？　高速道路で故障したらいちいちシステムをリブートするのか？」と反論したことがある。このとき、各業界や識者の論点は主に製品の安全性についての議論に集中した。多くの自動車業界関係者は、このときのGMの感覚のままでいるのかもしれないが、30年後の現在、ビル・ゲイツ氏が述べたIT業界の技術なしに車両はまともに動かない（少なくともCASE車両は）状態にある。車両設計は、システムがフリーズしても稼働をゼロにしないフェールセーフやフェールオーバー機能を真面目に実装しなければならない。◆価値の源泉はハード、ソフト、そしてサービスへ筆者も（30年以上前だが）組込み系でハード・ソフト両方の経験があるが、一般論としてハードウェアエンジニアはソフトウェアエンジニアを見下す傾向がある。すくなくともそういう主張は存在する。初期のコンピュータビジネスでは、ソフトはハードに無料でついていくるもの、価格のほとんどがハードウェアコストだったからだ。一般製造業でも、CPUなどマイコン制御は後から入ってきているため、設計の基本はハードウェアや形のある製品にこそ価値の本質があったので、ソフトよりハードが偉いという認識はそれなりに必然でもあった。だが、現在ハード・ソフトの価値（ポジション）が逆転しているのはいうまでもない。それどころか、ソフトウェアさえもいまや「サービスビジネス」の手段となり、パッケージ販売ビジネスはほぼ崩壊し、アプリ課金やサブスクリプションビジネスに置き換わっている。ビジネスの世界において、価値（＝マネタイズとする）の源泉は、もはや製品・技術・ソフトウェアではない。これらを組み合わせてどんなサービスやユーザー体験を提供できるかに移っている。もちろん、個々の技術や製品の品質や機能は大前提として必要だ。価値がサービスに移ったのではなく、いまの技術や品質は当然維持した上で、さらなる付加価値を与えなければならないということだ。◆ソフトウェアの安全思想はハードウェアにも適用可能この変革は、業界や立場によって「DX」「第4次産業革命」「Industry4.0 "" MaaS revolution "," CASE revolution ", etc. are not constant. If it is troublesome, you can say "game change" all together. It doesn't matter, but in the automotive manufacturing industry, it also affects the safety design of the product. In the exchange between Bill Gates and GM, the safety design and ideas of IT and cars were discussed as incompatible, but even if that is the case, the reality is impossible for both sides. There is no point in the discussion of competing for superiority. It is necessary to balance both. For example, in vehicle design, defects after the product should never be there because they are involved in human life. Of course, 100 % is not possible in reality, so there is no overdoing verification or experiment. The verification should be repeated and only certain things should be commercialized. However, the situation is slightly different in software. In the development of software development, in principle, it has released a perfect thing without a bug. Although it is a rule of thumb, it is impossible to eliminate bugs 100 % as a matter of fact. In addition, software has the problem of "vulnerability." Even if the program meets 100 %, it does not prevent the use of security holes and unusable functions. The answer given by the software industry in this issue is "update" and "continuous improvement release". In other words, the idea is that software is not completed, and that it always makes improvements and renovations and keeps safety and completeness. The common part of the recall and security updates may not be understood by the hardware engineer and the manufacturing industry, but in fact, the manufacturing industry has adopted this idea. Rather, it is an avoidable option. Even hardware products have "specification change". A recall system has been established in cars. The concept of software updates is the same. In particular, the recall system has a common part of the framework called "security update" and "vulnerability handling" in the software industry. Whether it's hard or soft, 100 % is unreasonable as long as humans are involved. Then, it is a concept of maintaining 90 % by maintenance, rather than not allowed 100 %. Although there is a degree of problem, CASE vehicles, which can change the performance and characteristics of the car depending on the software, need to accept this idea about safety and design philosophy. To do so, improvement of ECU technology, communication technology, and security technology is essential, but the hurdles in terms of technical aspects are low. It can be called a trivial problem. Even in the 1980s vehicles, the engine performance = driving performance can be changed simply by changing the ECU ROM (control map). OTA is hardly necessary for technical breakthroughs. The problem is the change of the ECU architecture, but the next -generation ECU and next -generation E/E architecture are being replaced. The real problem is the real problem of the user's literacy, not hard or technology. The most important thing in the industry revolution, which is said to be once every 100 years, is the most difficult hurdle on the user's reception. It can be called literacy. For example, people involved in the industry should understand that it is not a "company that comes out of recall = a bad company" (excluding extreme recall examples and number of cases). If you understand the main taste and mechanism of the system, renovation by recall is an act of enhancing vehicle safety, and there is no objection to a company that has the ability to discover and take measures. Similarly, vendors who do not update security in the software industry, and vendors who cannot do vulnerability handling are labeled for third -class companies that do not consider security. At present, there are some recalls that require only software renovation. If OTA can be handled, the omission of measures can be considerably reduced, and the cost of renovation can be reduced. Although physical replacement and maintenance do not go away, users need to be aware that OTA updates and defective renovation are similar safety measures as recalls. Rather, you should have a question, "How long should I have to maintain a vehicle for each recall?"

Response Shinji Nakao