SaFAD paperの第2章「設計による安全をサポートするための、ディペンダビリティのシステマチックな開発(Systematically Developing Dependability to Support Safety by Design)」には、自動運転で必要になるとされるフェイルセーフおよびフェイルデグレーデッド能力(それぞれ、表3に示すFS_1〜FS_7およびFD_1〜FD_6※5)、sec. 2.1および2.2.1)、それらを実装するための具体的な要素(sec. 2.2.2)、そして、その一般的な論理アーキテクチャの全体像(sec. 2.3 Figure 26)が示されています。
※5)FSはfail-safe capabilities、FDはfail-degraded capabilitiesの略。なお、後のFigure 33にはFD_7も登場していますが、本文中には残念ながら解説がありません。
ID | Capability | |
---|---|---|
FS_1 | Determine location | 位置の特定 |
FS_2 | Perceive relevant static and dynamic objects in proximity to the automated vehicle | 自動運転車に近接した静的および動的な物体の認識 |
FS_3 | Predict the future behavior of relevant objects | 関連するオブジェクトの将来の動作の予測 |
FS_4 | Create a collision-free and lawful driving plan | 衝突がなく、かつ、合法的な運転計画の作成 |
FS_5 | Correctly execute and actuate the driving plan | 走行計画の正しい実行と行動 |
FS_6 | Communicate and interact with other (vulnerable) road users | 他の(交通弱者を含む)道路利用者との通信および相互作用 |
FS_7 | Determine if specified nominal performance is not achieved | 規定された公称性能の未達成の判定 |
FD_1 | Ensure controllability for the vehicle operator | 車両運行者の操縦性の確保 |
FD_2 | Detect when degraded performance is not available | デグレードパフォーマンスを利用できない場合の検出 |
FD_3 | Ensure safe mode transitions and awareness | 安全なモード遷移と正しい状況把握の保証 |
FD_4 | React to insufficient nominal performance and other failures via degradation | デグレードによる公称性能不足などの不具合への対応 |
FD_5 | Reduce system performance in the presence of failure for the degraded mode | デグレードモードの障害発生時のシステム性能の低減 |
FD_6 | Perform degraded mode within reduced system constraints | システムの制約が緩和された状態での、デグレードモードの実行 |
表3 SaFAD――自動運転で必要なフェイルセーフおよびフェイルデグレーデッド能力出典:SaFAD paper sec. 2.1および2.2.1 |
安全の達成に向けた論証の筋書き(考え方/進め方)を一から描くのは容易ではありませんが、これらの能力を獲得していることの論証と、それを実装するためのアーキテクチャ要素、そして全体構成というフレームワークが与えられることで論証の筋書きづくりがだいぶ楽になるとともに、あえてこのアーキテクチャを基本骨格として採用することで、さまざまな支援の枠組み(定石や論証の自動化支援)を構築していくことも比較的容易になることでしょう。
第3章は「検証および妥当性確認(Verification and Validation, V&V)」です。
Sec. 3.1では、非安全やSAEレベル2まででの従来のV&V活動と並行して走らせる、SOTIF特有のV&V活動として、図2の「機能設計の反復プロセス」が示されています。
この反復プロセスを通じて、既知の(あるいは既知となった)非安全シナリオへの対応を進めていくことで、安全性を高めていく、という筋書きです。当然ながらそれではゼロリスクにはなりません。英文では以下のように説明されています。
100 % reliability of the system and 100 % confidence in a given level of reliability are not possible due to the complexity and time variance of the system and the corresponding uncertainties. Thus, there will remain some small risk of crashes. The concept of residual risk has already been accepted for a long time now (see the rollout of airbags or new medicines).
これを日本語訳すると、「システムの複雑さと時間的変化、それに伴う不確実性のため、システムの100%の信頼性と、所定の信頼性レベルに対する100%の確信を持つことは不可能、そのため衝突のリスクは多少なりとも残ることになる。残留リスクの考え方は(エアバッグや新薬の市場投入に見るように)既に長年にわたり受け入れられている」となります。ここでわざわざ書かれているように、残留リスクがあること、そして、それがあっても受け入れられることが前提となっていることを示唆しています※6)。
※6)ゼロリスクに近づけることはできても、その達成の保証はありません。だから「平均的なドライバー像と比較してのポジティブなリスクバランス」を、sec. 1.2で「出発点であり目標(the positive risk balance as an initial starting point and the overall goal.)」と位置付け、後述の5つの主要チャレンジにも登場させているのでしょう。
Sec. 3.2には、レベル3およびレベル4のシステムでの主要チャレンジ(Key Challenges for V&V of L3 and L4 Systems)として、表4の5つの項目が示されています。
No. | Challenges | |
---|---|---|
1 | Statistical demonstration of system safety and a positive risk balance without driver interaction | ドライバーとの相互作用なしでの、システムの安全性とポジティブなリスクバランスに関する統計的な実証 |
2 | System safety with driver interaction (especially in takeover maneuvers) | ドライバーとのインタラクションを伴うシステムの安全性(特にテイクオーバー操作) |
3 | Consideration of scenarios currently not known in traffic | 交通において現時点では知られていないシナリオの検討 |
4 | Validation of various system configurations and variants | さまざまなシステム構成とバリエーションに関する妥当性確認 |
5 | Validation of (sub) systems that are based on machine learning | 機械学習に基づく(サブ)システムに対する妥当性確認 |
表4 SaFAD――自動運転レベル3およびレベル4を達成するための主要5チャレンジ 出典:SaFAD paper sec. 3.2 |
Sec. 3.3はV&Vアプローチ、3.4はテストの量と質、3.5はシミュレーションについてさまざまな情報を提供しています。
また、sec. 3.6は要素ごとのV&Vについて述べています。例えば、電源については、冗長化すべきであり、レベル2までのシステムでは個別の電源系統ごとのテストでよいとされてきましたが、レベル3以上では電源切り替え動作についても追加でテストを行うことが必要になるなど、具体的な方策も示されています。
Sec. 3.7では、市場での運用(Field Operation)について、それなりのページ数を割いて説明しています。
第4章には、このSaFAD paperの内容をもとにV&Vプロセスや詳細をさらに追加した上でのISO化が現在進められていることに触れています。発行準備が進められている「ISO/TR 4804 Road vehicles - Safety and cybersecurity for automated driving systems - Design, verification and validation methods」※7)がそれに当たりますが、2020年7月23日時点ではCDの最終段階(Stage Code 30.99 CD approved for registration as DIS)まで来ており、間もなくDIS(ISO DTR 4804)が発行される見込みです※8)。
※7)ISO/TR:Technical Report(技術報告書、TR)。各種規定(provision)を提供するISとは異なり、各種「データ」を提供することを目的としたもの。
※8)なお、ISO/SAE 21434のDISは、発行からしばらく経過して購入可能になったのですが、DTRの場合にも購入可能かどうかは定かではありません。ドラフトの購入可否についての公式のルールを残念ながら見つけることができませんでしたが、入手が待ち遠しいところです(AUTOSAR APでのPHMや、CPでのWdgMといった監視関連のモジュールで今後考慮しなければならないユースケースのヒントが得られるものと期待しています)。
Copyright © ITmedia, Inc. All Rights Reserved.