車載ソフトウェアを扱う上で既に必要不可欠なものとなっているAUTOSAR。このAUTOSARを「使いこなす」にはどうすればいいのだろうか。連載第16回では、AUTOSARと関わりの深い“安全”に関する動向を取り上げる。ISO 26262の先にあるものについて、自動車関連企業11社が発表した「SaFAD paper」を基に解説しよう。

» 2020年08月27日 10時00分公開

[櫻井剛，MONOist]

はじめに

　皆さまいかがお過ごしでしょうか。新型コロナウイルス感染症（COVID-19）で生活や仕事のやり方が一変してしまったこともあり、前回の連載第15回からだいぶ間が空いてしまい、申し訳ございません。

⇒連載「AUTOSARを使いこなす」バックナンバー

SaFAD paperの表紙（クリックでSaFAD paperのPDFファイルにアクセス）

　前回の予告では、AUTOSAR R19-11（以下、R19-11）のAUTOSAR Adaptive Platform（AP）の変更点をご紹介すると申し上げましたが、既にR19-11が発行されてから9カ月が過ぎており新鮮さに欠けますし、予定通りなら3カ月後には次のリリースであるR20-11が発行されます。そこで今回は趣向を変えて“Safety（安全）”に関する動向を取り上げてみたいと思います。

　さて、自動車関連企業11社が集まり（AUTOSARとは独立した形です）、2019年7月2日に「Safety First for Automated Driving」文書（以下、SaFAD paper）を発表しました。筆者は現在、AUTOSARのワーキンググループの内、WG-SAF（Safety）とWG-IVC-CP（In-Vehicle CommunicationのClassic Platform部分）の2つに参加しており、前者のWG-SAFでは自動車向け機能安全規格ISO 26262への対応をメインに扱っていますが、今回、外部のSaFAD paperを読んでの気付きを絡めて、私見を述べさせていただきます。

　なお、所属する企業、研究機関、標準化団体（AUTOSARやそのWG-SAF）を代表しての見解ではないことと、AUTOSARで現在進行中の議論の内容については守秘義務のためここでは触れられないことについて、あらかじめご了承くださいませ。

自動車の安全に関わる代表的な規格群

　まずは自動車の安全に関わる代表的な規格について確認しておきましょう。これらは多数存在しますが、主要なもののカバー範囲は「ISO/PAS 21448:2019 Table 1」に比較的分かりやすくまとめられています。これに加筆したものを表1として示します。

表1　自動車の安全に関わる代表的な規格群とそのカバー範囲（クリックで拡大）出典：ISO/PAS 21448:2019 Table 1をもとに筆者が加筆・作成

1．ISO 26262 Road vehicles - Functional safety

　ISO 26262は、読者の皆さまにはもうご説明差し上げるまでもないかもしれませんが、自動車向け機能安全規格です。2011年にPart 1～9、2012年にPart 10が発行され（いわゆるEd.1、第1版）、2018年にはその改訂版としてPart 1～12が発行されました（同Ed.2、第2版）。

　この規格がカバーするのは、「functional safety」の定義（ISO 26262-1:2018 clause 3.67）や、「absence of unreasonable risk due to hazards caused by malfunctioning behaviour of E/E systems」にある通り、あくまで、自動車の電気・電子システムの故障（フォールトによる意図した振る舞いの停止）や意図しない振る舞いに起因する物理的な死傷が対象です。

　ISO 26262について、SaFAD paper sec. 2.1.4では、以下のように述べています。

Ed.1は、自動車産業における当時のstate-of-the-artのシステム（ステアリング、ブレーキ、エアバッグシステムなど）の知見を基に作成されたものであり、非常に複雑で分散したシステムには適切には対応していない。さらに、安全性を維持するための可用性の必要性をカバーする明確な方法論もない
Ed.2では、これらの問題の幾つかは解決されているが、他の多くの問題には対応しておらず、以下への対応が必要
- 可用性（Availability）の要件に対する解決策の提示
- IEC 61508などの規格では提供されている故障率推定のための、自動車向けアーキテクチャモデル提供
- 既存の再利用されるアーキテクチャ要素のフェイルセーフ（fail-safe）動作だけではなく、フェイルオペレーショナル（fail-operational）およびフェイルデグレーデッド（fail-degraded）動作にも対応
- ASIL（安全要求レベル）の達成のための、アーキテクチャ要素の分解方法の具体化
- 必要なASILの達成のための、機能要素およびアーキテクチャ要素の具体的な定義

2．ISO/PAS 21448:2019 Road Vehicles - Safety of the intended functionality（SOTIF）

　ISO 26262を補う規格として、2019年にPublicly Available Specification（公開仕様書、PAS）として発行され、システム面では、性能限界や状況に対する考慮不足や、合理的に予見可能な誤使用や不適切なHMI（例：ユーザーの混乱や過負荷）を、外部要因の面では、車両の周辺からの影響（例：他のユーザー、パッシブ状態のインフラ、天候やEMIなどの環境条件）をカバーしています。

　Safety of the intended functionality（SOTIF）は、「意図した機能の機能的不備、または、人による合理的に予見可能な誤使用に起因するハザードによる不合理なリスクがないこと」と定義されています（ISO ISO/PAS 21448:2019 clause 3.10）。

　そのために、ISO 26262の安全ライフサイクルと並行して、以下の活動を行っていきます。

機能およびシステム仕様の記述（clause 5）
SOTIFの範囲のハザードを特定しリスク評価（clause 6）
危険事象につながり得るシステム応答の発端となる、運転シナリオにおける特定の条件（triggering event）の特定と評価（clause 7）
SOTIFの範囲のリスク低減のための機能の変更（clause 8）※ここまでがV字プロセスの左バンク
SOTIFの検証/妥当性確認戦略の決定（clause 9）※ここからがV字プロセスの右バンク
SOTIFの検証（clause 10）
SOTIFの妥当性確認（clause 11）
SOTIFのリリース（メソドロジおよび条件に基づく）（clause 12）

　ただし、この版ではSAE J3016_201609^※1）の自動運転レベル1およびレベル2がターゲットであり、レベル3以上では追加の方策の検討が必要です（ISO/PAS 21448:2019 clause 1 Scope）。また、この文書には、枠組みの記述はありますが、後述のSaFADのような、より具体性のある基準などは示されていません。

※1）SAE J3016における自動運転レベル：ISO/PAS 21448で参照されているJ3016_201609の後、次版のJ3016_201806が発行されていますが、自動運転レベルの定義に大きな変更はありません。

ISO 20077とISO/SAE 21434、SAE J3061_201601

　　　　　　 1|2|3|4|5 次のページへ