ソフトウェアの検証」タグアーカイブ

ボーイング737Max墜落事故

 3月10日エチオピア航空302便(737Max8)が離陸直後に墜落事故を起こした。
乗客乗員157人全員が死亡。昨年10月29日にも、インドネシア・ライオン航空610便(737Max8)が墜落し、乗客乗員189人全員が死亡している。両事故機は、離陸直後上昇中に何度も機首下げ動作を繰り返し墜落している。わずか5ヶ月弱の間に同様な事件が2件発生した。

公式事故原因はまだ発表されていないがAOAセンサー(仰角センサー)の出力に誤りがあり、失速回避のため機首下げ動作を繰り返したためと報道されている。
巡航高度まで上昇中に機体が機首下げ動作をすれば、当然操縦士は機首上げ操作をする。コンピュータによる機首下げ動作と操縦士による機首上げ動作を繰り返した挙句に墜落した様だ。

巡航高度に達する前に上昇、下降を繰り返したわけだから乗客・乗員の恐怖は大変なものだっただろう。コックピットもこの様な状況で冷静に判断が出来たか疑問が残る。

この事故で思い出すのが、1994年4月26日に名古屋空港で発生した中華航空の着陸失敗事故だ。

「航空機事故から」

この事故は副操縦士の誤操作により、操作の矛盾が発生し自動操縦に切り替わった状態で着陸やり直しをしたため失速墜落している。

墜落機(エアバス)の設計思想は操作に矛盾があった場合、コンピュータ操作を優先する様になっていた。一方当時はボーイング社は操作に矛盾があると、人の操作を優先する設計思想だった。

失速の自動回避はコンピュータ優先にせざるを得ないのかもしれない。

事故原因はまだわからないが可能性を考えてみると、

  • AOAセンサーの故障
  • AOA警報システムのバグ
  • 操縦システムのバグ

が考えられるだろう。

ソフトウェア業界のには「バグはもう一つある」という格言(?)がある。検証・デバッグを繰り返してもまだバグは残っているという警句だ。

我々の製造現場でもIOTが進めば、システムの複雑度が上がりバグによる障害が発生する可能性が上がるだろう。

AOAセンサの点検整備が地上でできるのかどうか定かではないが、もし異常値を示した場合の検出方法を検討する必要がありそうだ。

世界中に737Maxは200機稼働しているという。各機が平均1日1往復フライトの稼働率だとすれば、半年で2回の事故は27ppmの事故発生率となる。
家電製品に使われる電子部品の不良率であれば、許されるかもしれない。運悪く不良品を購入してしまっても、新品と交換すれば済んでしまう事もある。
しかし300人以上の人命がかかっているとすると27ppmの事故率でも許されない。


このコラムは、2019年3月20日に配信したメールマガジン【中国生産現場から品質改善・経営革新】第799号に掲載した記事です。

【中国生産現場から品質改善・経営革新】は毎週月・水・金曜日に配信している無料メールマガジンです。ご興味がおありの方はこちら↓から配信登録出来ます。
【中国生産現場から品質改善・経営革新】

自動ブレーキ「誤作動」

 

「自動ブレーキ『誤作動』米が調査 日産SUV」

 日産自動車の北米向けSUV(スポーツ用多目的車)「ローグ」(日本名・エクストレイル)について、自動ブレーキが誤作動する恐れがあるとして、米運輸省高速道路交通安全局(NHTSA)が調査に入った。米メディアが12日、一斉に報じた。

 調査対象は2017年と18年のモデルで、計約55万台。障害物がないのに自動ブレーキが突然作動するなどの不具合が指摘されている。これまでに800人以上が苦情を訴え、14件の事故、5人の負傷者が報告されているという。

 日産にとってローグは北米での主力車種。日産はソフトウェアの無償改修を促す通知を顧客に出した。NHTSAの調査結果次第では、リコール(回収・無償修理)に発展する可能性もある。

 日産によると、ローグは米国、韓国、九州の3カ所で生産しているが、調査対象の車の詳しい生産地は分からないという。日産広報は「今のところ、日本のエクストレイルに同様の問題が出ているという話は聞いていない」としている。

(朝日新聞より)

 ゴーン会長、西川社長の報酬疑惑、19年度1Qの営業益98.5%減、などに続き日産自動車のネガティブな報道が続いている。

今回発生したブレーキの誤動作は、必要な時にブレーキが効かないわけではなく、不必要な時にブレーキが作動してしまう問題だ。必要な時にブレーキが効かなければ、かなり深刻な問題になる。しかし不必要な時にブレーキが作動しても、追突されるなどの人身事故につながりかねない。

新聞記事には「ローグは米国、韓国、九州の3カ所で生産しているが、調査対象の車の詳しい生産地は分からないという」とある。ソフトウェアの問題であれば、どこで生産しても同じ欠陥が内在しているはずだ。生産地ごとに採用している購入部品に含まれるソフトウェアの問題なのだろうか?

当然、ブレーキの動作に影響のある重要安全部品に対する評価は徹底的に実施したはずだ。
しかしこの手のソフトウェアの信頼性評価は簡単ではない。
「ブレーキが効かなければならない時に、ブレーキが正しく動作する」ということを検証するのはさほど難しくはないはずだ。つまり、ブレーキが効くべき場合は「ブレーキペダルが踏まれた」「前方または後方に障害物がある」など条件を特的できる。

しかし「ブレーキが効く必要がない時に、ブレーキが作動しない」を検証する場合、「ブレーキが効く必要がない」という条件をもれなくあげることは困難だろう。従って完成車での検証(妥当性評価)には無限大の組み合わせが発生する。

このような場合ソフトウェア単体の検証で問題ないことを確認することになる。
通常この検証はソフトウェア設計部門で行う。これが仕入先の設計であれば、完成車メーカとしてどのように評価するのかが問題となるはずだ。


このコラムは、2019年9月18日に配信したメールマガジン【中国生産現場から品質改善・経営革新】第877号に掲載した記事です。

【中国生産現場から品質改善・経営革新】は毎週月・水・金曜日に配信している無料メールマガジンです。ご興味がおありの方はこちら↓から配信登録出来ます。
【中国生産現場から品質改善・経営革新】

続・B737MAX機墜落事故

 ボーイング737max8機の墜落事故に関して、メールマガジンで検討してみた。

WEBサイトengadgetの記事によるとボーイング社はMCAS(失速回避システム)を大幅に変更。変更の検証評価・妥当性評価が不十分であったとNew York Timesが報じている。その変更はパイロットにも周知されていなかったという。

engadgetの記事

ボーイング社の自動操縦システムの基本設計思想は、システムと操縦士の操作に食い違いがあった場合、人の操作を優先するようになっている。

1994年名古屋空港で発生したエアバスの着陸失敗事故は、システムと人の操作の矛盾をシステムを優先させて失速・墜落した。当時既にボーイングの基本設計は、人の判断を優先していた。

航空機事故から

B737max8のMCASの修正はバグ修正にとどまらず、基本設計の変更に関わるモノとなってしまった。当然制御システム全体と整合性が取れない場合が発生するはずだ。それにもかかわらず検証・妥当性評価が不十分であった。

航空機の航行システムがどの程度の規模のソフトウェアなのか想像もつかないが、相当な規模であろう。そのような制御プログラムで基本設計に反する改造をして簡単な検証で済むはずがない。

物事には、変えていいところと変えてはいけないところがある。


このコラムは、2019年7月3日に配信したメールマガジン【中国生産現場から品質改善・経営革新】第844号に掲載した記事に加筆しました。

【中国生産現場から品質改善・経営革新】は毎週月・水・金曜日に配信している無料メールマガジンです。ご興味がおありの方はこちら↓から配信登録出来ます。
【中国生産現場から品質改善・経営革新】