前回は公道走行で起きた事例を紹介し、想定外の事象が実際の道路では起こり得るため、自動運転車両では継続的に安全性や可用性を高めていく努力が必要であるということを説明しました。今回はこのことを技術視点でさらに掘り下げます。なお本記事でで紹介する機能安全はISO 26262:2018 Functional safety、SOTIFはISO21448:2022 Safety of the intended functionality という国際標準として発行済みでありますが、その詳細な説明は行わず、自動運転の安全に関わる説明にとどめます。
これまでの自動車の電子システムの安全確保の方法は「機能安全(Functional safety)」という考え方で説明できました。機能安全では「自動車は安全となるように設計されており、万一故障が発生した場合でも安全機構を働かせ安全な状態に移行させる」という考え方が前提にあります。例えば、ブレーキでいえばシステムを冗長に構成し、万一どちらかが故障してももう一方のシステムに切り替えて減速機能を継続することができます。このように、万一の故障も含めた体系的な設計により、安全を確保することが機能安全の考え方で、これは従来の車の安全確保に非常に有効でした。
一方、自動運転レベル3以上の場合、自動運転のシステムに故障がなかったとしても、車が想定外の事象に遭遇することにより、危険な事象が発生することが考えられます。人による運転でも将来起こり得る全ての事象を想定した対応は困難ですが、特にコンピューターによる自動運転では、想定外の事態への完全な対応を行うことは非常に難しくなります。このような想定外の要因により危険事象が発生する状況でも、車の安全の確保を可能とする新たな安全の考え方が「SOTIF(Safety of the Intended Functionality)」といわれる方法です。
図1はシステムが直面するリスクシナリオは、四つの領域に分類できます。
既に分かっている「既知のシナリオ」には必要な対策が取れるが、何が起こるのか分からない「未知のシナリオ」については対策がとれないため、自動運転にとって厄介なのはArea 3の「危険だが未知のシナリオ」である。
図2はこれに対してSOTIFで求められる活動を表しており、レベル4自動運転車を実際に運行させるには、Area 3の未知の危険シナリオが十分に少ないことを確認する必要があります。そのためには実フィールドでの事象をモニターし、Area 3の「未知の危険なシナリオ」が発見された場合には、必要な対策を行う必要があります。そして「未知の危険なシナリオ」が十分に小さくなったことが確認できた後に、自動運転の運行を始めることができますが、自動運転の運行を開始した後もフィールドで起こる事象を継続的にモニターし、危険な事象につながるシナリオが発見された場合にはその内容に応じた対策を行っていく必要があります。
このように自動運転車両では、実フィールドで運行を開始した後でも継続的なモニタリングによる危険シナリオの発見とそれに対する改善を続けていく必要があり、車を販売してて終わりとはなりません。特にソフトウエア開発においては、終わりのない始まりを意味します。
既存の自動車のソフトウエアは「機能安全」をはじめとする考え方で車に閉じた開発で行われてきましたが、自動運転開発においては「SOTIF」のような考え方が必要となり、車の外の世界も含めた継続的な対応が求められます。このことは、これまではハードウエアの内側の閉じた世界で開発されてきた車のソフトウエアが、個々の車の中に閉じない開かれた「オープンな」世界の入り口に立っていることを意味しています。
Toshihide Ando | 安藤俊秀
ティアフォー・フェロー
2019 年入社。前職ではソフトウエア開発を中心に、自動車の各種電子システム製品などの研究開発に従事。技術本部バイス・プレジデントを経て、現職。
ティアフォーでは、「自動運転の民主化」というビジョンに共感を持ち、自らそれを実現する意欲に満ち溢れた新しい仲間を募集しています。
多くの職種で採用をしています。詳細は、ティアフォーの「求人ページ」をご覧ください。カジュアル面談をご希望の方は、応募する際に「カジュアル面談希望」と記載してください。
「どの職種で自分の経験を活かせるかが分からない」「希望する職種が見つからない」などの場合は、ぜひ「キャリア登録」をお願いします。
お問い合わせ先
ソーシャルメディア
X (Japan/Global) | LinkedIn | Facebook | Instagram | YouTube
関連リンク