国立情報学研究所（NII）は、アーキテクチャ科学研究系准教授の石川冬樹氏の研究チームが、自動運転車をはじめとする複雑な自動車システム設計の安全性を自動分析する手法を開発したと発表した。この研究成果は、複雑ソフトウェアシステムに対する工学についてのフラグシップ国際会議「ICECCS 2019」で最優秀論文賞を受賞している。

» 2020年01月27日 07時30分公開

[朴尚洙，MONOist]

　国立情報学研究所（NII）は2020年1月24日、アーキテクチャ科学研究系准教授の石川冬樹氏の研究チームが、自動運転車をはじめとする複雑な自動車システム設計の安全性を自動分析する手法を開発したと発表した。この研究成果は、複雑ソフトウェアシステムに対する工学についてのフラグシップ国際会議「ICECCS 2019」で最優秀論文賞を受賞している。

　自動運転車の開発が進む中で、自動車システムの安全性分析では、さまざまなパラメーターがどのように安全性に影響するかを評価する必要がある。自動車の動作に大きな影響を与えるパラメーターとしては、馬力やブレーキ力などの設計パラメーターと、乾燥した路面や滑りやすい路面といった環境パラメーターの2種類に大まかに分けられる。しかし、自動運転ではこれら2種類のパラメーターの組み合わせが膨大になるため、実際に大量のシミュレーションをしたとしても、得られたデータから知識を抽出して活用することは難しい。

　石川氏の研究チームは、設計および環境パラメーターと全体的なシステムの安全性との関係を自動分析する手法を開発した。同手法は、それぞれのパラメーターが単独でどれだけ安全性に影響しているかを分析する第1段階と、それらのパラメーターの相互作用がどう安全性に影響しているかを分析する第2段階から構成されている。

「自動車システム設計の安全性を自動分析する手法」の全体概念図（クリックで拡大）出典：NII

　第1段階の分析では、従来のソフトウェアプログラムでバグの存在箇所を予測するバグ箇所予測の技術にヒントを得て、新たな手法を提案している。自動車システムでは、バグであることがはっきり分かる（離散的な）ソフトウェアプログラムとは異なり、結果の安全性も、原因となるパラメーター値も、連続的で無数の可能性があるものになる。それらを「大まかに捉える」ことが今回開発した手法の肝になっているという。

　第2段階の分析でも、無数の組合せの可能性から、安全性に影響しているパラメーター値の組合せを導く。ここでも、連続的で無数の可能性があるパラメーター値を「大まかに捉え」、危険度とパラメーター値の組み合わせのそれぞれによる2段階のクラスタリング（類似性の尺度により、標本パターンを似たもの同士で集めてグループに分けること）を行い、膨大な組み合わせの中から安全性への影響の観点から注意を払うべきものを抜き出す。

　これら2段階の分析結果を合わせることにより「Xが高めでYが低めの場合に危険度が高い（Xが高めであることだけでは危険とは限らない）」といった知識を全自動で抽出し、開発者に提示できるようになった。これにより開発者は、避けるべき設計の選択肢や注意深く検査すべき動作環境を把握したり、危険なケースの原因追及をしたりできるようになる。また、分析結果を開発者の持つ知識や期待と照らし合わせることで、システムに対する理解不足や誤解、システムの意図通りでない動作に気付くきっかけにもなる。

　今回発表した分析手法は、シミュレーションやテストのデータがあれば、自動車システムの安全性に限らずに活用できるものとなっている。今後は、運転経路の決定など自動運転の他の機能や、ゲームのように膨大な可能性を扱う他のソフトウェアシステムなど、産業界のさまざまな事例への適用を行い、技術をさらに発展させて企業における問題解決に取り組んでいくとしている。

どうして今、自動車にモデルベース開発が必要なんだろう
モデルベース開発という言葉は、自動車業界にとって決して目新しいものではありません。今さら何を解説しようというのか、と思われる方も多いことでしょう。しかしここ数年で、自動車業界全体でモデルベース開発の「活用、流通」という言葉をよく耳にするようになりました。自動車開発のキーワードの1つになっていると言っても過言ではありません。
コマツが次期製品の開発でMBSEを実践、「プロダクトライン開発」との両輪で
オージス総研主催のイベント「現場の悩みを解決するためのシステムモデリングの活かし方」に、小松製作所（コマツ）開発本部システム開発センタメカトロ制御第3Gr.の北村顕一氏が登壇し、同社の次期製品の開発に取り入れているMBSE（モデルベースシステムズエンジニアリング）と「プロダクトライン開発」について紹介した。
STAMP/STPAとは何か
システムとシステムがつながる、より複雑なシステムの安全性解析手法として注目を集めているのがSTAMP/STPAだ。本連載はSTAMP/STPAについて基礎から学ぶことを主眼とした解説記事となっている。第1回は、STAMP/STPAの生まれた理由や、従来手法との違い、実施の大まかな流れについて説明する。
MBSEは自動車業界と航空宇宙業界の切磋琢磨で進化する
複雑化する製品の設計開発をより効率的に行える手法として注目されているモデルベースシステムズエンジニアリング（MBSE）だが、その導入で先行してきたのが航空宇宙業界だ。現在MBSEの導入を始めつつある自動車業界は後発になる。しかし今後は、自動車業界と航空宇宙業界、双方の知見の融合のよってMBSEが進化していくことになりそうだ。
日本の自動車メーカーはMBSEにどう取り組むべきか、ドイツの権威が提言
モデルベースシステムズエンジニアリング（MBSE）の権威である、ドイツ・カイザースラウテルン工科大学教授のマーティン・アイグナー氏が来日。欧米の自動車メーカーと比べてMBSEへの取り組みが遅れている日本の自動車メーカーのエンジニアにMBSEの有用性を説いた。
「システムズエンジニアリング」の正しい理解がISO26262対応に役立つ
慶應義塾大学大学院システムデザイン・マネジメント（SDM）研究科准教授の白坂成功氏は、宇宙機「こうのとり」のシステム設計に携わる中で学んだ「システムズエンジニアリング」を広めるべく大学で教べんをとっている。白坂氏に、宇宙機の安全設計や、ISO 26262などの機能安全規格のベースになっているシステムズエンジニアリングについて聞いた。