週末のソフトウェアアップデートで一部のJeep 4xeハイブリッド車が文鎮化

Hacker Newsの意見

• 自分の4xeは土曜のソフトウェアアップデート後、自宅前で動かなくなった。Jeep/Stellantisの対応がどれほどひどかったか、4xeオーナーの立場から説明したい
  • 月曜の午前8時まで、Jeep関連の公式アカウントや会社側からは一切の告知も認知もなかった
  • 自分が問題を知ったのも、FacebookのJeepグループで同じ症状の人がいないか検索していて気づいたからだった
  • 最も「公式」に近い情報ですら、Jeep運営の「JeepCares」アカウントがオフロードフォーラムに投稿した内容だけで、そこでの案内も前後でつじつまが合っていなかった。Uconnectアップデートとテレマティクスアップデートは別物だと言っていたのに、後ではUconnectアップデートを延期するよう助言しており、両者がつながっているかのような説明になっていた
  • Jeep側の情報不足のせいで、人々は「どのモードでもUconnectを再起動すればチェックエンジンランプが消える」といった類いのあらゆる噂に頼ることになった。実際に不満表示は消えたが、根本問題は解決していなかった
  • 問題のあるアップデートを受けたかどうか確認する方法がない
  • パッチが適用されたかどうかも分からない
  • ディーラーも状況をまったく把握していない
  • そして自分は今この文章を書いている瞬間も、高速道路のど真ん中で突然パワーを失って車が止まってしまう危険にさらされている
  • 高速道路で走行中にパワーシステム、つまりエンジンが停止し得るという点が本当に驚きだ。記事によればこの現象は実際に起きており、一部は家の近くの低速状況だったが、高速道路で走行中にパワートレインが故障したと主張する人もいる。本当に衝撃的な問題だ
  • こんなことが現実に起こるなんて本当に狂っている。数年前に自動車業界の投資デューデリジェンスをしていたとき、アップデート前には必ず車両が停止していてモーターが切れていることを確認すべきだと指摘したことがある。皆、自分のその指摘を、そういう状況が問題につながり得るという話としてではなく、むしろ珍しがっていたのを覚えている
  • これは典型的に、本来の締め切りに間に合わなかったチームが仕事を先延ばしし続け、全員が休暇予定のせいで責任を負う余裕もないまま無理にコードをリリースした事例のように聞こえる。時間に追われ、確証バイアスに陥って、問題があるというシグナルが出ているコードを押し出してしまい、今や主要担当者は飛行機の中か音信不通、あるいはノートPCなしの休暇中で対応不能なのだろう
  • 走行中の車両でソフトウェアアップデートが実行され、それがパワー喪失につながることをどう検証したのか気になる。以前自動車部品サプライヤーで働いていたとき、アップデート破損リスクを防ぐための保護機構はいくつもあり、最も基本的なものとして、UDSプログラミングセッションへの突入自体に車速や走行モードの条件が入っていた
• 最近は大手ホームライティング企業で働いていて、電球とインターネット/ユーザー接続を担うルーターOSを開発した経験がある。うちのOTAUアーキテクチャは、ブートスロットを2つ持つA/B方式のシステムアップデートだ（参考リンク）。この方式では、アップデートに失敗しても以前のバージョンに自動ロールバックされるので、ブリックしたことは一度もない。ちなみにこの装置は100ドル未満の家電だ。それなのに5〜6万ドルのSUVにこうした安全策がないのは、コスト削減のせいではないかと疑いたくなる。このクラスの車なら、NAND容量を2倍にしても総コストの0.5%にもならないはずだ。本当にブートスロット破損なら話は分かるが、自動車メーカーが配布するコードにあまりにも無頓着なのは失望する
  • IoT照明と自動車の両方を経験した立場から、両業界を比較できる。擁護するつもりはない。完成車メーカーもコスト最適化には極めて敏感で、この問題はブートスロットの話ではないと思う。ほとんどの自動車ソフトウェアは、走行中はアップデートできないよう設計されているのが普通だ。今回は新しいファームウェアに重大なバグがあったように見える。自動車業界全体が底を打っているという批判もあるが、Stellantisは特にトップクラスの給与を出す会社ではない
  • Android端末（車載でもこれを採用している例は多い）も同様にA/Bパーティションでブリックリスクを減らしている。ただしこの方式でもリスクは完全には消えない。複雑なロジックや複数の子デバイスを同時に更新する必要がある場合、2*N個のパーティションが連動し、それぞれのチェックポイントで失敗し得る。通常、「すべて正常」のチェックポイントを早すぎる段階で打つと、重要サービスが失敗してもすでに回復不能状態に入ってしまう
  • 自動車のような5〜6万ドルの装置では、0.5%のコストも影響が大きい。たとえばFordの営業利益率は2%なので、車両あたり0.5%の原価増は利益率を25%も削る。車は年間出荷台数が比較的少なく、チップ要件も厳しいため、部品原価は高くなりがちだ。A/Bアップデートも完全な解決策ではなく、構成を誤ると無限ループに陥ることがある
  • 自動車業界では、デバイス1台あたり5ドル未満ですら敏感に反応することがあると聞く。A/Bアップデートそのものが仕様から外れていたか、あるいはOTAサイズが増えて容量限界にぶつかった可能性もある。より安全にするならA/B/A（Bは軽量OS）方式もあるが、開発時間不足で現実的に難しいのが実情だ
  • 100ドルの機器でもA/B方式を使っているところがあるのだから、これはコスト削減というより優先順位と能力の問題である可能性が高い。仕様にアップデート安全策が欠けたまま、スケジュール圧力と責任回避が繰り返されて今回の事故につながったのかもしれない。実際、今回はブリックではなく、走行中に致命的なバグが発生した件だった
• Jeep Wagoneerをレンタルしたことがあるが、電子装備があまりにもひどくて、こういう事故も驚かない。2日目にはリフトゲートが閉まらずダッシュボードにエラーメッセージが出て、電子ロックもまったく動かなかった。検索すると、ソフトウェアアップデートが必要だという同じ現象の人が大勢おり、手動解除方法もなかった。レンタカー会社の店舗が近かったので車を交換したが、その後もいろいろ問題を体験した
  • 後部座席でSteam Deckの充電器を使うと、インフォテインメントシステムを含むメーターパネル全体が落ちては再起動を繰り返した
  • 運転席シートが降車しやすいよう下がるが、元の位置に自動復帰せず、だんだん後ろへずれていった
  • 常時オフにできない後席ラッチ異常の警告が出たが、ラッチ自体は正常だった
  • TPMS警告灯が頻繁に点いたり消えたりした（信号不良）
  • クルーズコントロール関連のエラーがランダムに発生した
  • 電子パーキングブレーキが駐車場内での一時停止時に自動でかかった
  • 冷房の動作がおかしく、車内が暑いままだったりエアコンが効かなかったりした
  • オンラインには、同様またはさらに深刻な問題を経験した人が非常に多い。8万ドルの新型車にこんな問題があるとは信じがたい
  • 最近の家族旅行でGrand Wagoneerを4台も乗り換えたが、どの車にも致命的な問題があった
  • JeepとStellantis/Dodgeは品質管理と電装設計が深刻なレベルでひどい。ファンダム的なコミュニティは多いが、頻発する欠陥を美化しがちな傾向がある。こんな車を買うのは自分から損をしにいくようなものだ
• OTAでECUなどの中核部品を更新するのは本当に受け入れがたいリスクだ。もし本当に避けられないなら、必ずディーラーで、専門家がロールバック準備を整えた状態で行うべきだと思う。メーカーはすべてを自動化し、サブスクサービスで収益化しようとするあまり、消費者の安全を損ない始めており、そういう理由で自分のようなクルマ好きは古い車をより好む
• Stellantisが最近「vibe coding」エンジニアリングワークフローを強制してから2週間も経たないうちに、この事件が起きた（関連記事）
  • ただし、OTAで実車フリートにプッシュされるには、少なくとも2週間より前に書かれたコードであるはずだ
• Jeepに数か月乗っているが、コミュニティは改造modばかりに集中している一方で、OSがSiriusXM開発のクローズドなものだという点には不満がある。Jeep Wranglerこそオープンソース向きの車なのに
  • Wranglerの改造でもソフトウェアハックが活発でないわけではない。関連フォーラムで紹介された内容をもとに、商用製品まで出た例がある。ただ、ヘッドユニットのファームウェアがきちんと突破された例はまだ見たことがない
  • Jeepって、信号待ち中にポップアップ広告を出すインフォテインメント広告システムを入れていた会社じゃなかったか。オープンソースOSでそういう広告を回避されることをメーカーが望むはずがない
• なぜOTAアップデートで車全体がブリック可能なのか理解できない。インフォテインメントシステムと走行システムは完全に分離されているべきではないかと思う
  • それは単なるインフォテインメントOTAだという前提から出た結論だ。実際にはこれは車両全体OTAだ。インフォテインメント、ECU、ECM、TCM、BCMまで触れられるし、主要リコールもOTAで解決するので、中核システムの更新を禁止することもできない。2025年時点で、大半のメーカーがこうしたOTA機能を持っている
  • こうした問題が起きる根本原因はコスト削減だ。メーターパネルもインフォテインメントもアナログの代わりにモニターへ置き換え、より安く生産している。ソフトウェアも「書き直し禁止、再利用のみ」の主義であちこち継ぎはぎするため、統合テストが貧弱にならざるを得ない。EV時代には各モーターコントローラーが独自ソフトウェアを持ち、OTAはそこまで上書きできる。その中でToyotaだけは経験の蓄積が長く、問題が比較的少ない
  • 日常的な情報（たとえば駐車センサー作動中の音楽ミュート、給油・バッテリー残量表示など）まで走行システムとインフォテインメントが相互作用するので、完全な分離は不可能だ
  • 以前、自分のTahoeでOTAアップデートによりインフォテインメントがブリックしたことがある。その後バックアップカメラもまったく動かず、ウインカー音すら鳴らなくなって、搬送費と修理費で2,000ドル近くかかったのに保証も適用されなかった。だから今後はすべてのアップデートを無効にするつもりだ
  • Teslaがこうした統合OTAの前例を作り、その後ほとんどのメーカーが同様に追随している。Volvoも似た問題を抱えている
• なぜインフォテインメントシステムがここまで多くのエンジニアにとって問題の温床になるのか理解できない。Mazda 3（2018）の場合、集団訴訟まで起きた。何年も正常に動いていたのに、突然メニューがランダムに反応し、ボタンがひとりでに押され、数日、数か月止まった後にまた再発する現象だ。結局、すべての機器接続を切り、ラジオだけ聴きながら運転するしかなかった
  • 根本から垂直統合されておらず、機能ごとに2万個を超えるECUが別々に存在し、下請けに締め付ける発注で一つひとつ極限までコスト削減してきた結果だ。そして「伝統的」メーカーやTier 1サプライヤーがソフトウェアイノベーションの導入にほとんど関心を払ってこなかった結果でもある
  • 最近、AndroidスマホをMercedesの車にBluetooth接続してみたが、「ラグジュアリー」ブランドなのにセットアップ段階だけでGUIバグを5件も見つけた。車は全体的な仕上がりとしては悪くないが、ソフトウェア品質は明らかに意志の問題だ。（ちなみにセットトップボックスUIも、ハードウェアスペックの割に遅すぎる）
  • こういう問題は単純にアウトソーシングとコスト削減のせいだ。垂直統合もなく、最も安い外注先に任せている
  • 以前インフォテインメントソフトウェア開発会社で働いていたが、あのシステムはあらゆるコスト削減の極致だった。最低限のRAM、最低限のCPU、粗末なディスプレイで、高級車でも同じだった。昔からカーステレオはコスト削減の象徴だった
  • スマホ分野のように毎年新製品を出すどころか、車では1つの機器が10年以上持たなければならず、最小限の人員で一貫した動作を保証しなければならない
• TeslaのOTAアップデートで車全体がブリックした事例、つまり本当に動かないレンガ状態になった例は大きく聞いたことがない。TeslaはデュアルBIOS（マザーボードのデュアルBIOSのようなもの）構成で設計していると理解している
  • 10年以上Tesla関連コミュニティを追っているが、OTAでブリックした事例は見たことがない。たいていはアップデートが始まった直後に急いで出かける必要ができて不便だった、という程度だ
  • TeslaはHILテストを非常に多く行っており、全体的なテストアプローチも自動車メーカーというよりソフトウェア企業のやり方だ
  • 実際にググると、Tesla OTAブリック事例がまったくないわけではない。関連事例
• 週末の議論内容への参照リンク