{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
ISO 21448 SOTIF(Safety of the intended functionality)意図した機能の安全性―概要編―
2022-07-06
はじめに
自動運転社会の実現に向けて各社が自動運転車の開発を続ける中で、2022年にはSAE自動運転レベル3の量産車がドイツの車両メーカーより市場に投入されました。2021年に日本の車両メーカーが市場投入したことに続く動きであり、今後も各社の自動運転に向けた開発はますます加速することが想定されます。こうした中、ISO 21448 SOTIF(Safety of the intended functionality: 意図した機能の安全性)が2022年6月30日に発行されました。ISO 21448はUNECE WP29(自動車基準調和世界フォーラム)のUNR157(ALKS: 自動車線維持システム法規基準)に関連する国際標準規格として位置づけられているほか、ISO/DIS 34502(Road vehicles-Scenario-based safety evaluation framework for Automated Driving Systems)と相互参照する関係にあります。従って、自動運転システムの安全性評価手法を確立し、安心・安全な自動運転社会を実現するためには、関連法規や国際標準規格に準拠するとともに、本標準規格に対応することが求められます。
本稿では、ISO 21448で定義されているSOTIF(意図した機能の安全性)のうち、特に以下の内容について整理します。
- ISO 21448の概要
- SOTIFとは何か?
- 自動運転システム開発になぜSOTIFが必要なのか?
ISO 21448概要
ISO 21448の成り立ち
ISO 21448はISO/TC22/SC32/WG8において、UNR157の法整備と並行して策定され、発効されました。これは自動運転車をはじめとする、大規模、複雑かつ高度な車載電子システムの安全性を保証する開発手法に関する国際標準規格であり、ISO 26262(Functional safety: 機能安全)では網羅しきれなかった部分の安全性を補完することを目的としています。
全体構成
ISO 21448は図表1で示すとおり、13のClause(以下、「CL.」)で構成されています。CL.4にはSOTIF活動の概要と全体構成が記載されており、CL.5~13にはSOTIFにおける各ステップの具体的な活動内容が定義されています。
SOTIFとは?
自動車の安全保証におけるSOTIFの守備範囲
既に広く普及しているISO 26262(Functional safety:機能安全)は、システム自体の故障による危険事象の発生を防止することを目的とした安全規格です。それに対してISO 21448は図表2で示すとおり、システムの故障がない状態における危険事象の発生を防ぐことを目的とした安全規格であり、ISO 26262を補完する関係にあります。
また、SOTIFが対象としている「システム故障がない状態での危険」を誘発する要素として、性能限界や外部環境の影響、ユーザーまたは交通参加者による誤用/誤操作などが挙げられます。これらに対し、意図した機能の安全性を確保することがSOTIF活動の対象となります。
自動運転システム開発になぜSOTIFが必要なのか?
自動運転車におけるSOTIFの必要性
ドライバーが主体として運転を行う従来の車と、自動運転車(レベル3相当)におけるドライバーと車の制御範囲の変化について、図表3に示します。
一例として、従来の車では道路工事により車線が規制されている場合に、ドライバーは車両右側の車線規制を認知し、左車線を越えて走行する判断を行い、一時的に左車線を跨いで通過します。それに対し自動運転車は、車両右側の規制を回避するために左車線を越える際の安全性を判断できず、危険を回避するために、制御をドライバーに引き渡すように振る舞います。この例では、従来の車と自動運転車のギャップとして、判断のステップにおいて車の性能限界に起因する危険性、および制御ステップの制御切替時においてユーザー誤用に起因する危険性が増していることが分かります。
従来の車に対して、自動運転車にて新たに発生するこれらの性能限界やユーザーの誤用に起因するリスクを低減するためには、SOTIFが有効であり必要不可欠な活動であると言えます。
ISO 21448とUNR157の関係性
自動運転レベル3を対象とした法規であるUNR157とSOTIFとの関係性については、UNR157において次のとおり言及されています(図表4)。
UNR157 5.1.8項では、「ドライバーによる合理的に予見可能な誤用を防ぐための措置を講じること」と定義されており、ユーザーの誤用を考慮したシステム開発が求められています。
UNR157 6.2.4項では、「意図しない手動によるシステムの非アクティブ化に対する保護を提供すること」と定義されており、ユーザーの誤操作などに起因する、意図しないシステムの非アクティブ化を防止する機能が要求されています。
UNR157 7.1.6項では、「故障がない状態での誤動作による危険事象を誘発すべきではない」と定義されており、センサー機能などの性能限界や外部環境の影響を考慮する必要性が示されています。
さらに、UNR157 Annex4.7項では、「ISO 21448のアセッサー能力を持った監査人による評価の実施」が求められており、システムの安全性評価に加えてSOTIF監査人の育成も必要となります。
まとめ
自動運転車を広く社会に普及させるためには、従前までの活動である機能安全(ISO 26262)に加え、性能限界や外部環境の影響、ユーザーまたは交通参加者による誤用/誤操作に起因するシステム故障がない状態において危険事象の発生を防ぐことが求められており、ISO 21448ではそれらの安全を保証する具体的な活動内容が定義されています。具体的な活動内容については、次回の「SOTIFアクティビティ解説編」にて解説します。
また、図表5で示すとおり、自動運転車の普及に向けては、ISO 21448のみならず、UNR157、ISO 26262、ISO 34502など関連する法規や標準文書への対応も必要となるため、包括的な視点から取り組むことが求められます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
