ISO 21448 SOTIF(Safety of the intended functionality)意図した機能の安全性―概要編―

2022-07-06

はじめに

自動運転社会の実現に向けて各社が自動運転車の開発を続ける中で、2022年にはSAE自動運転レベル3の量産車がドイツの車両メーカーより市場に投入されました。2021年に日本の車両メーカーが市場投入したことに続く動きであり、今後も各社の自動運転に向けた開発はますます加速することが想定されます。こうした中、ISO 21448 SOTIF(Safety of the intended functionality: 意図した機能の安全性)が2022年6月30日に発行されました。ISO 21448はUNECE WP29(自動車基準調和世界フォーラム)のUNR157(ALKS: 自動車線維持システム法規基準)に関連する国際標準規格として位置づけられているほか、ISO/DIS 34502(Road vehicles-Scenario-based safety evaluation framework for Automated Driving Systems)と相互参照する関係にあります。従って、自動運転システムの安全性評価手法を確立し、安心・安全な自動運転社会を実現するためには、関連法規や国際標準規格に準拠するとともに、本標準規格に対応することが求められます。

本稿では、ISO 21448で定義されているSOTIF(意図した機能の安全性)のうち、特に以下の内容について整理します。

  • ISO 21448の概要
  • SOTIFとは何か?
  • 自動運転システム開発になぜSOTIFが必要なのか?

ISO 21448概要

ISO 21448の成り立ち

ISO 21448はISO/TC22/SC32/WG8において、UNR157の法整備と並行して策定され、発効されました。これは自動運転車をはじめとする、大規模、複雑かつ高度な車載電子システムの安全性を保証する開発手法に関する国際標準規格であり、ISO 26262(Functional safety: 機能安全)では網羅しきれなかった部分の安全性を補完することを目的としています。

全体構成

ISO 21448は図表1で示すとおり、13のClause(以下、「CL.」)で構成されています。CL.4にはSOTIF活動の概要と全体構成が記載されており、CL.5~13にはSOTIFにおける各ステップの具体的な活動内容が定義されています。

図表1:ISO 21448 の文書構成

SOTIFとは?

自動車の安全保証におけるSOTIFの守備範囲

既に広く普及しているISO 26262(Functional safety:機能安全)は、システム自体の故障による危険事象の発生を防止することを目的とした安全規格です。それに対してISO 21448は図表2で示すとおり、システムの故障がない状態における危険事象の発生を防ぐことを目的とした安全規格であり、ISO 26262を補完する関係にあります。

また、SOTIFが対象としている「システム故障がない状態での危険」を誘発する要素として、性能限界や外部環境の影響、ユーザーまたは交通参加者による誤用/誤操作などが挙げられます。これらに対し、意図した機能の安全性を確保することがSOTIF活動の対象となります。

図表2 ISO 21448とISO 26262の関係性

自動運転システム開発になぜSOTIFが必要なのか?

自動運転車におけるSOTIFの必要性

ドライバーが主体として運転を行う従来の車と、自動運転車(レベル3相当)におけるドライバーと車の制御範囲の変化について、図表3に示します。

図表3 自動運転車における車とドライバーの制御範囲の変化

一例として、従来の車では道路工事により車線が規制されている場合に、ドライバーは車両右側の車線規制を認知し、左車線を越えて走行する判断を行い、一時的に左車線を跨いで通過します。それに対し自動運転車は、車両右側の規制を回避するために左車線を越える際の安全性を判断できず、危険を回避するために、制御をドライバーに引き渡すように振る舞います。この例では、従来の車と自動運転車のギャップとして、判断のステップにおいて車の性能限界に起因する危険性、および制御ステップの制御切替時においてユーザー誤用に起因する危険性が増していることが分かります。

従来の車に対して、自動運転車にて新たに発生するこれらの性能限界やユーザーの誤用に起因するリスクを低減するためには、SOTIFが有効であり必要不可欠な活動であると言えます。

ISO 21448とUNR157の関係性

自動運転レベル3を対象とした法規であるUNR157とSOTIFとの関係性については、UNR157において次のとおり言及されています(図表4)。

UNR157 5.1.8項では、「ドライバーによる合理的に予見可能な誤用を防ぐための措置を講じること」と定義されており、ユーザーの誤用を考慮したシステム開発が求められています。

UNR157 6.2.4項では、「意図しない手動によるシステムの非アクティブ化に対する保護を提供すること」と定義されており、ユーザーの誤操作などに起因する、意図しないシステムの非アクティブ化を防止する機能が要求されています。

UNR157 7.1.6項では、「故障がない状態での誤動作による危険事象を誘発すべきではない」と定義されており、センサー機能などの性能限界や外部環境の影響を考慮する必要性が示されています。

さらに、UNR157 Annex4.7項では、「ISO 21448のアセッサー能力を持った監査人による評価の実施」が求められており、システムの安全性評価に加えてSOTIF監査人の育成も必要となります。

図表4 ISO 21448とUNR157の関係性

まとめ

自動運転車を広く社会に普及させるためには、従前までの活動である機能安全(ISO 26262)に加え、性能限界や外部環境の影響、ユーザーまたは交通参加者による誤用/誤操作に起因するシステム故障がない状態において危険事象の発生を防ぐことが求められており、ISO 21448ではそれらの安全を保証する具体的な活動内容が定義されています。具体的な活動内容については、次回の「SOTIFアクティビティ解説編」にて解説します。

また、図表5で示すとおり、自動運転車の普及に向けては、ISO 21448のみならず、UNR157、ISO 26262、ISO 34502など関連する法規や標準文書への対応も必要となるため、包括的な視点から取り組むことが求められます。

図表5 関連する代表的な法規および標準文書

執筆者

渡邉 伸一郎

ディレクター, PwCコンサルティング合同会社

Email

糸田 周平

シニアマネージャー, PwCコンサルティング合同会社

Email

松下 尚裕

マネージャー, PwCコンサルティング合同会社

Email

自動車R&Dを取り巻く環境変化・変革に関するインサイト

20 results
Loading...
Loading...

インサイト/ニュース

20 results
Loading...

COOやオペレーションリーダーが取り組むべきこと PwCパルスサーベイに基づく最新の知見

本レポートでは、世界の大企業の経営幹部673人を対象に、経営の戦略や優先順位を調査しました。COOはAIの活用拡大に強いプレッシャーを感じており、関連する人材の採用・育成に注力する一方で、業務に追われ将来のビジョン策定に注力できていない状況が明らかになりました。

PwCコンサルティング、「スマートモビリティ総合研究所」 の設立を発表 産官学の連携を加速し、持続的なモビリティ社会システムの創造を推進(2025年2月28日)

PwCコンサルティング合同会社は、持続的なモビリティ社会システムの創造を推進する「スマートモビリティ総合研究所」を設立しました。モビリティ動向・関連データの発信によりステークホルダーの認識共通化を後押しするとともに、コミュニティ形成のためのリアルな場を提供し、モビリティ領域における価値創造の機会を創出します。 
Loading...

関連情報