がうす通信第102号(2010/4/19)


トヨタ車の「問題ペダル」リコールに隠ぺいされた
電磁波干渉の可能性

米高速道路安全局(NHTSA)はトヨタ車の急加速事故における電磁波干渉の影響について、
英国の電気工学・電磁波影響の専門家であるケース・アームストロング氏に意見を求めていたが、
2010年2月13日付けでアームストロング氏は電磁波干渉の可能性を示唆する文書を出した。

その要旨を紹介する。ペダルの問題なのか、トヨタ車だけの問題なのか、検証の実際は・・。

急加速は電磁波干渉によってもおこる

●アクセルペダルが戻らない。
  2009年8月28日、サンディエゴの高速道路でカリフォルニア高速道路パトロール官のマーク・
セイラー氏が運転するトヨタ社のレクサスが暴走し4人が死亡する事故が起きた。マスコミはこの
事故を「アクセルペダルがフロアマットに引っかかったため」と報道し、トヨタは「問題ペダル」のリ
コールを発表した。

  しかし、ハイウェイパトロールとして19年間のキャリアを持つセイラー氏がペダルを踏み間違え
たり、フロアマットに引っかかったペダルを処理できなかったとは考えにくい。

●暴走車を止めるのは困難/不可能。
  自動車業界や日本政府、そして最近トヨタが行った実験では、暴走車を止めることは非常に
難しいことが分かった。止められたとしても、止まるまでの距離は長い。

(システムは)止められるために、ブレーキペダルを1回踏み、車が止まるまで強く踏み続け、ペ
ダルを何度も踏まないことを想定している。

  多くの人は、車のブレーキの効きが悪い時には何度もペダルを踏むことでブレーキの圧力

すと教えられてきたが、エンジンが高速回転している時にはそれは当てはまらない。なぜなら、
この状態ではブレーキ・ブースター(増幅器)を真空状態にできないからだ。エンジンがうなりをあ
げている時にブレーキペダルを何度も踏むと、真空サーボ(速度調節器)のブレーキ増幅機能が
失われ、ブレーキの効きが非常に悪くなる。

●電磁波干渉によるエラーはあとに証拠を残さない。
  電磁波干渉による電子回路の誤作動は起こりえる。しかし、問題はそれが起きたとしても、その
証拠を事故後に調べることが極めて難しいことである。落雷などの強い電磁波は電子回路に損傷
を起こすことがあるし、静電気放出などによっても損傷の可能性はある。しかし、ほとんどのタイプ
の電磁波干渉は電磁波エネルギーが小さいので、電子回路のシグナルにゆがみや混乱をきたし
たり、その結果、ハードウェアやソフトウェアの操作にエラーを起こすことはあっても、電子回路そ
のものに損傷を与えることはない。エラーや誤作動を起こした電子回路は、電磁波干渉が解消さ
れればほとんど回復する。

  電子的誤作動状態が消えなければ、事故後にイグニッション(点火装置)のスイッチを切らない
限り原因究明は可能であるが、事故を起こした時、人が最初にすることはイグニッションを止めるこ
とである。すると証拠はただちに消えてしまう。警察や救急隊は事故車からの発火を防ぐためにバ
ッテリーを断絶する。同時に誤動作の証拠はすべて消える。

●原因となりうるラッチ・アップ
  より深刻な電子機器の問題にラッチ・アップ(latch-up)がある。これは異常電流が内部で流れ続
ける状態を言う。ラッチアップは集積回路(IC)の出入力ピンに1ボルト以上の直流電流が流れるこ
とで起こりえる。たとえば、ノイズ電流のカップリング、スパイク、静電気などが原因となる可能性が
ある。集積回路が熱くなったり、イオン放射をあびた時、ラッチアップしやすい。自動車のマイクロ
プロセッサーのピンはスパイクや静電気、特にイグニッションシステムからのスパイクに常時曝され
ている。

●考えられる誤作動の種類
  電子制御式エンジンバルブ(スロットル:抑圧弁)の場合、ハードウェアやファームウェアの誤作
動はバルブの制御不能状況を招く可能性がある。オーストラリアでは、オートクルーズ(アクセルペ
ダルを踏み続けることなくセッティングしたスピードを維持できる機能)のフォード車が80kphにセッ
ティングされたままスピード・セッティングを変えることもできないという事件が起こった。エンジンバ
ルブが開きっぱなしになる状況は非常に危険で、自動車の傷害・死亡事故の原因のうちでも特に
多い。このように、瞬間的な電気的誤作動によって重大な事故が起こる可能性もあるが、誤作動が
自動的に回復するため証拠を残さない。

●ブラック・ボックスのデータ
  車の操作記録を供給するブラックボックスのデータリコーダーもこれ自体、車の電子回路から完
全に独立していない。コストの関係でブラックボックスはそれ自体のセンサーを使うのではなく、車
の電気を使ってシグナルを記録する。そこで、たとえば、車の回路が干渉を受けて「運転手がエン
ジンバルブの全開を指令した」と誤認した場合、データリコーダーでは「運転手がアクセルペダル
を踏んだ」と記録される。但しガスペダルの単独のセンサーがあれば、結果はまた異なる。最新式
アクセスペダルはそれ自体が複雑な電気機械で、非常に電気干渉を受けやすく、その結果、エン
ジンの電気コントロールシステムに誤った出力を与えやすい。たとえブラックボックスのデータレコ
ーダーが独立センサーを使ってアクセルペダルの位置を示したとしても、エンジンコントロールシ
ステムにシグナルを送るのと同じ技術を使っていたら、それは同じように干渉をうけ、同様の間違っ
た出力を与える可能性もある。
●代理機能
  電子回路の信頼性を高める一般的な方法は「代理機能」を使うことである。しかし、もし代理機能
や重複機能機器や回路が同じ技術を使うと、それらはおそらく同じように電磁波干渉を受けるだろ
う。それは代替機能技術の効果をそこなう。この理由で、電磁波干渉は安全工学では「共通原因」
問題として知られる。

●証拠の不足では何も証明されない。
  自動車メーカーの常套句はこうである。
「私たちは電磁波干渉が急加速の原因となる証拠は何も見つけることができない。だから、電磁波
干渉はその原因ではないにちがいない」・・・過去30年にもわたって、このような論拠に乏しい言い
訳をすべての自動車会社が使って来た。
そこそこ有能なEMC設計エンジニアなら当然、電磁波
干渉はその軌跡を残さないことを
知っている。そこには自動車メーカーで働いているエンジニア
たちも含まれる。

  この破綻した理論がいまだに使われているのは、これが論理的に正しくないことに気付かない
人々たちには説得力があるように聞こえるからだ。だから政治家や官僚はこの言い方を好む。これ
については、私が書いた記事『証明の欠如は欠如の証明ではない』(EMCジャーナル、78号、
2008年9月)を読んでほしい。
●複雑な電気機械は安全危機システムに関して信頼できない
  人々が望む安全な自動車を大量に生産するということは、エンジンスピードコントロールなどの
安全システムの信頼性が、年間何百万台も生産される車両のいかなる部品においても確保されな
くてはならないということである。

  しかし、製品が完全に安全であることは不可能であり、われわれはマイカーのブレーキやハンド
ルが働かなくなること、はたまた、スピードが制御できなくなる可能性もあることを覚悟すべきである。
もちろん、われわれはそんなことが起きないことを願っているし、自動車の設計車たちはリスクを減
少させている。

  信頼性を証明しようとするなら、その設計は完全に安全であると言い切れるまでに少なくとも年間
5万台を絶え間なくテストしなくてはならないことになる。100台の車なら500年間テストしなくては
ならないということになる。

  NHTSA(米高速道路安全局)の公式な数字によれば、公的に記録された急加速事故のうちおよそ
1%が死を招いている。そこで、エンジンバルブの全開を起こす電気的誤作動のたった1%が死を招く
と仮定すると、急加速の可能性は1時間のドライブで3.2×10の−7乗ほどになり、自動車の平均故障
寿命は312万時間ほどである。これをテストするためには100台の自動車を50年間持続的にテストする
ことが必要である。

  ニューモデルの自動車が作られるタイムスケールを考えると、安全テストを終えるのに必要な時間は
6カ月である。エンジンバルブ全開誤動作における電子工学の信頼性を証明するためには、その間に
1万台の車をテストしなくてはならない。

  死亡事故とならなかった99%の急加速事故も、そのほとんどは傷害や車の損傷をもたらす。怪我
をしなかった人たち、死ななかった人たち、そして車の損傷を受けなかった人たちも怯えを感じ続け、
心理的影響を受けているだろう。

  もちろん、上記に述べたことは極めて簡略化した分析なので、多くの抜け穴の可能性がある。ひとつ
は急加速のうちおよそ10%しかそれと認識されておらず、報告されていないことである。車の暴走事
故で運転手が死んだ場合、誰がその原因や状況を説明するのか?

  たとえば、ドライバーが車をよく整備していたにもかかわらず車が暴走した場合、「ドライバーの運転
ミスに違いない」と推測され、自動車保険会社が少ない補償金で済ませるのは常である。

  私がここで力説したいのは、車の安全性に求められる電子工学的な信頼性が、通常のテストプラン
に基づく信頼性よりもはるかに厳しい基準を持つということである。

EMC(電磁波両立性)テストでは電磁波干渉の耐性の安全性は証明できない。
  6ヶ月間、1万台の車をテストするという上記の例をさらに展開させると、さまざまな電磁波現象に
対する車の電子機器の反抗を調べる場合、仮に5種類の異なるテストが必要であるとして、1回に
一つの電磁波現象を実験することになるので、50000ヶ所のEMCテスト実験室で同時に6カ月間
車のテストする必要があるだろう。

 しかし実際には、自動車工場はわずか数台をEMC実験設備で1〜2週間で“電磁波両立性
EMC)を証明するため”にテストしている。

  実験者らは口々に「我々の製品は3千2百万ドルかけた実験室で厳しいEMCテストをパスして
いて、どんな電磁波干渉にも全面的に耐えるものである。」と言うが、これは、彼らが自分の実験要
因の範囲が現実世界と比べいかに限定的なものか理解しておらず、また設計検証について、特に
安全面で懸念される問題に関して、何ひとつ理解していないことを示している。

  電磁波干渉への耐性を全面的に重視して作られる製品などありえない。すべてはコスト対リスク
の問題できまる。