検索
連載

自動車の“安全”を考える、ISO 26262の先にある「SaFAD」にどう対応すべきかAUTOSARを使いこなす(16)(3/5 ページ)

車載ソフトウェアを扱う上で既に必要不可欠なものとなっているAUTOSAR。このAUTOSARを「使いこなす」にはどうすればいいのだろうか。連載第16回では、AUTOSARと関わりの深い“安全”に関する動向を取り上げる。ISO 26262の先にあるものについて、自動車関連企業11社が発表した「SaFAD paper」を基に解説しよう。

Share
Tweet
LINE
Hatena

Safety First for Automated Driving――概要および第1章

 SaFAD paperは2019年7月2日に一般公開されました。

 SOTIFではSAEの自動運転レベル2までしかカバーせず、また前述の通り、枠組みだけしか提供していませんでした。しかし、SaFAD paperではレベル3およびレベル4を実現するための方策を、より具体的な形にまで踏み込んで提案しています。

 第1章「序論および動機(Introduction & Motivation)」には、スコープ(sec. 1.1)、文書構造(sec. 1.2)に加えて、自動運転に関する以下の12の原則(the Twelve Principles)が示されています(sec. 1.3.2、表2)。なお、SaFAD paperでは各原則に番号が振られていませんので、便宜上付番しています。

SaFAD Principles 原則 (sec. 1.3.2)
1. Safe Operation 1a. Dealing with Degradation 安全関連機能またはシステムコンポーネントが危険な状態に陥った場合(例:失陥)、自動運転システム(ADS)は、システムを平衡状態に保ちつつ安全条件/状態に移行し、さらに、運行者への安全な制御の移行のための十分な時間枠を確保すること
1b. Fail-Operational(limited to the safety-related function or component) 安全関連機能やシステム構成部品の喪失は、安全に関連する事態を招いてはならない
2. Operational Design Domain 2a. ODD Determination ADSの安全機能を制限すべきシステム限界に達したことが認識された時点で、システムは、平衡状態を保つために反応するか、または、十分な時間枠を与えつつ運転者にハンドオーバーを要求しなければならない
2b. Manage Typical Situations ADSは、ODDで一般に予想される状況を考慮し、起こりうるリスクに対処しなければならない
3. Vehicle Operator-Initiated Handover ADSの作動と解除には、運行者からの、その意図について高い確信を伴う明示的な指示を必要とする
4. Security ADSを提供する場合には、セキュリティ上の脅威からADSを保護するための措置を講じなければならない
5. User Responsibility 安全の向上のためには、ユーザーが、責任を持って引き継げるようにするための手順に対応できる状態(すなわち警戒状態)になければならない。システムは、ユーザーの状態を認識し、要求された使用者のタスクに関する使用者の責任について使用者に通知し続けることができることが望ましい。また、無人運転サービスにおける安全に関連した運転状況をそれぞれの運転者に知らせることができること
5a. Responsibility 運転タスクのうち、ユーザー責任として残る部分は、そのユーザーにとって明確でなければならない
5b. Mode Awareness 自動化された機能では、現在アクティブな走行モードを、常に明確かつ間違いなく認識できるようにしなければならない。さらに、運転モードの変更はユーザーにも明確に分かるようにしなければならない
6. Vehicle-Initiated Handover 6a. Minimal Risk Condition 車両の運転者がテイクオーバー要求に応じない場合、ADSは最小リスク状態になるよう、リスクを最小化するための車両操作を実行しなければならない。その操作は、状況とADSのその時点での性能に依存する
6b. Takeover Requests 車両によるハンドオーバーは、運行者が明確に理解でき、管理しやすいものでなければならない
7. Interdependency Between the Vehicle Operator and the ADs システムの安全性を総合的に評価するためには、自動運転の期間が終了した直後や、行程の中の自動運転の部分が始まる場面での、自動化に伴う運転者への影響を考慮することが必要となる
8. Safety Assessment 検証と妥当性確認は、全体の安全性の一貫した改善を達成するために、安全目標を確実に達成するために使用される
9. Data Recording 自動運転車は、適用されるデータプライバシー関連法にのっとり、イベントやインシデントを認識した場合に、ADSの状態に関わるデータを記録しなければならない
10. Passive Safety 10a. Crash Senarios 車両レイアウトは、車両の自動化に伴う衝突シナリオの変更に対応しなければならない
10b. Alternative Seating Positions ADSにより新たに可能となった車室の用途においても、乗員保護が確保されていること
11. Behavior in Traffic 11a. Manners on the Road 自動化された機能の挙動は、周囲の(交通弱者を含む)道路利用者にとって、分かりやすいだけでなく、予測可能で管理しやすいものでなければならない
11b. Conforming to rules "適用される交通ルールは、自動運転システムによって考慮されなければならない。なお、上記の原則「5. User Responsibility」では、利用者責任について説明している
12. Safe Layer ADSは、システム限界、特に車両の運転者に安全に制御を移行できない限界を認識し、リスクを最小化するように対応しなければならない
表2 SaFAD paperにおける12の原則(The Twelve Principles) 出典:SaFAD paper sec. 1.3.2

 内容は分かりやすいものばかりだと思いますが、例外は最後の項目「12. Safe Layer」です。この項目名からは内容を読み取りにくいのですが、続く文言を読めば意図は明確です。もしかしたら、当初は何らかの副項目があったのに削除された結果分かりにくくなってしまったのかもしれません(こんな推理を働かせながら読んでいくと、思いがけないものが見えてくることもあるのですが、これは最後の項目なので、実は単なる「ごみ箱分類群」扱いなのかもしれません……)。

 また、国土交通省が2018年9月12日に、レベル3およびレベル4の自動運転車が満たすべき安全性に関する要件として発表した「自動運転車の安全技術ガイドライン」の10項目と重なるものも多数含まれています。例えば、原則の11aは重なりませんし、7、8、10のようにより一層具体的に示されているものもあります。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る