トヨタ・プリウスのブレーキ制御プログラム

昨日テレビを見ていたら、端末機器を運転席のメーター等が付いている部分の下あたりに挿し、ブレーキ制御システムのソフトウェアをアップデートしている映像が放映されました。
アップデート自体は10分程度で終わり、その後点検等を行って40分で終了とか。

自分はソフトウェア開発の仕事をしているのですが、
・車のブレーキがプログラムで制御されている事
・ブレーキ制御のプログラムが簡単にアップデートできる事
を、恥ずかしい事なのかもしれませんが知りませんでした。

あの映像を見てなんだか「怖いもの」を感じました。

まず1つ、自分がこの世界に入ってから感じた事なのですが「ソフトウェアで制御するものを100%信頼する事はできない」と言う事です。
こんな事言うと「プロとして失格」とか「業界としても億劫」と言われてしまうかもしれませんが、「100%不具合のないソフトウェアなんてありえない」と思います。
自分は不具合が1つもないプログラムを作れる自信はないし、実際にできていない。周りを見回してもやっぱりできていないと思う。「俺は不具合を1つも作らない」と豪語する人がいたとしたら、それは嘘つきなんだと思います。Windowsなんかでもちょくちょく不具合がありますよね。
普通に動かしている状況では大丈夫でも、何か異変が起こった場合に問題を起こすというのは十分ありえることだと思います。特に実際に起こす事が難しい現象、例えばメモリが確保できなくなったとか。「作成者が考え付かなかった状況」が発生しうる事もありえますし、考え付いても実際に全てのパターンについてテストするのは難しい。
ブレーキ制御プログラムの下ではOSが動いているのかな? だとすれば、たとえ自分(ここで言えばトヨタ自動車)が作った部分に不具合はなくても、OS自身に不具合があるかもしれません。実際そういう経験もありますし、その場合は直したくでも自分では直す事はできず、またOS側で直してくれるとは限りません。
プリウスの場合、報道なんかから判断すると機械的に直結したブレーキは存在せず、全てソフトウェアを介して制御しているように見えたので、ちょっと怖く感じました。

次に1つ、「アップデート作業のミス」は発生しえないのか?
例えば、古いバージョンのソフトウェアを間違ってアップデートしてしまうとか、モデル毎に微妙に異なるソフトウェアがある場合に違うモデルのソフトをアップデートしてしまうとか。
ありえないようで案外ありうる問題のように思います。実経験もあります。
また、「正しくアップデートできたことをどうやって確認するのかな?」と疑問に思いました。
通常の運転でアップデートされた事を感じ取る事ができる手立てがあるのだろうか。

最後にもう1つ、犯罪者によって「ウィルスを仕込んだプログラムに書き換えられる」という危険性はないのか?
なんだか簡単にソフトウェアが書き換えられそうな雰囲気だったので気になりました。
書き換えに対するセキュリティ機能とかあるのかな?