自家用自動運転車の実用化は、まだ数年から数十年先になりそうですが、自動車業界は、自動運転車 (AV) の未来へと急速に歩を進めています。先進運転支援システム (ADAS) からロボタクシーまで、自動車の自動運転はますます改良されていますが、それでもまだ、ドライバーによる監視が必要です。この分野への巨額の投資により、今後数年間で自動運転車のユースケースがさらに増えると予想されることから、ISO 26262 や SOTIF (ISO PAS 21448) など、機能安全規制への準拠がこれまで以上に重要になります。
路上での自動運転技術の発展に伴い、これらの車両の安全性を確保することがますます重要になっています。これまで自動車業界では、エンジニアリングチームと実装チームが、ソフトウェアのバグやハードウェアの故障など、車両の機能安全上の問題に対処するにあたり、ISO 26262 が事実上の規制として用いられていました。ISO 26262 は、自動車の電子システムや電気系統の故障によって起こりうる危険に焦点を当てています。
やがて、ISO 26262 で扱われている不具合の検出と軽減だけでは、自動運転に伴うエンジニアリング上の課題のすべてには対処できないことが明らかになりました。そのため自動車業界は、ISO 21448:2021 としても知られる Safety of the Intended Functionality(SOTIF: 意図した機能の安全性)という新しい規制を取り入れて、このギャップを埋めることにしました。この規制は ISO 21448:2021 としても知られています。ここでは、これらの主な規制の詳細と、この二つの規制の違いについて説明します。
ISO 26262 について
ISO 26262:2018「Road vehicles - Functional safety」(道路走行車両 - 機能安全)”は国際的に認められたリスクベースの安全規格であり、運転支援や駆動力など、自動車の電気系統および電子システムの機能安全を規定します。
親規格である IEC 61508 から派生した ISO 26262 は、自動車システムの故障によって起こりうる危険への対処と軽減を目的としています。また、次の役割も果たします。
- 製品ライフサイクル全体にわたって安全性を確保するためのガイドラインを自動車メーカーに提供する
- 開発と生産のプロセス全体にわたって機能の安全面を網羅する
- リスクベースのアプローチ (ASIL) を推進して、レベルやリスクを評価および決定し、残存リスクを許容可能なレベルに抑える方法を示す
- 車両の安全性を最大限確保するためのバリデーションプロセスおよび妥当性確認プロセスの要件を策定する
つまり、自動車メーカーはこの規格に準拠することで、システムやハードウェアの不具合の影響を検出、管理し、軽減できます。
初版は 2011 年 11 月に発行され、最新版 (ISO 26262:2018) は 2018 年 12 月に発行されました。2018 年版では規制の範囲が大きく拡大され、従来の乗用車に加え、原付を除くすべての道路車両が規制対象となりました。
Safety Of The Intended Functionality (SOTIF) ISO 21448:2021 について
自動車のセンサーや認知アルゴリズムが設計どおりに機能しても、実際の状況に対処できないとしたらどうなるでしょうか。
気象条件、光の変化、予期せぬ物体や人間の行動などにより、自動車の部品が正常に作動しなくなることがあります。このようなエンジニアリング上の課題により、自動車業界は 2021 年に ISO 21448「Road Vehicles - Safety of the Intended Functionality」 (SOTIF)(道路走行車両 - 意図した機能の安全性)を導入しました。
この規格では、SOTIF を次のように定義しています。
– ISO/PAS 21448:2019 Road vehicles - Safety of the intended functionality(道路走行車両 - 意図した機能の安全性)
SOTIF は、設計、検証、バリデーションの方法に関するガイダンスを自動車設計チームに提供します。従来の機能安全は、システム障害によって発生するリスクの軽減に重点を置いていますが、SOTIF は、未知の条件下でも、必要な安全機能が不具合を起こさずに動作するかどうかを検討します。
これには、自動車部品(センサーやシステムなど)の性能限界や、道路環境の予期せぬ変化などが含まれます。SOTIF に準拠するため、自動車メーカーは膨大なシミュレーションを実行し、機械学習と AI を利用して多量のデータを処理することで、複雑な現実世界のシナリオに車両がどのように反応するかを予想する必要があります。
SOTIF と ISO 26262 の違い
興味深いことに、(SOTIF) ISO 21448:2021 は、もともと ISO 26262:Part 14 として策定されたものです。しかし、未知の状況で(システム障害を伴わずに)自動運転の安全性を確保することは非常に複雑であるため、まったく別の規格となりました。
簡単に言えば、ISO 26262は、システム障害が発生した場合に機能安全を確保する方法について、自動車メーカーにガイダンスを提供します。システム障害の例としては、ステアリングアシストの喪失、電子パーキングブレーキの故障、衝突回避機能の不具合、意図しないエアバッグの展開などがあります。これらはすべて、電気系統または電子システムの障害に起因する誤動作です。
SOTIF は ISO 26262 に基づいており、補完的な規格として機能します。SOTIF は、システム障害を伴わずに起こりうる安全上の問題を防止、制御、軽減するための最善の方法を示しています。SOTIF は、先進運転支援システム (ADAS) など、それ自体は故障しなくても、安全上の問題に直面する可能性のあるシステムに適用されます。
自動運転車の機能安全の確保に役立つ SOTIF
SOTIF への準拠は、自動運転車の安全性を確保するための鍵であり、自動車ソフトウェア開発に不可欠です。自動車メーカーにとっては、テスト、検証、バリデーションがさらに重要となり、仮想シミュレーションの実行に際しての統計分析がより強化されることを実質的に意味します。
Codebeamer の無償試用版はこちら
複雑な製品やソフトウェアエンジニアリングを大幅に簡素化。Codebeamer オープンプラットフォームの無償試用版は、ALM 機能にプロダクトラインの構成機能を統合し、複雑なプロセスに独自の構成を提供できます。
無償試用版はこちら