ISO 21448 SOTIF(Safety of the intended functionality)意図した機能の安全性―アクティビティ解説編―

2022-07-07

はじめに

本稿では、2022年6月30日に発行されたISO 21448で定義されているSOTIF(意図した機能の安全性)の具体的なアクティビティについて解説します。「ISO 21448 SOTIF(Safety of the intended functionality)意図した機能の安全―概要編―」では、「SOTIFとは何か」という問いに対して、ISO 26262(機能安全)との守備範囲の違いを整理した上で、自動運転システムにおけるSOTIFの必要性について解説しました。

本稿では、特に自動運転システムの開発において活用されるSOTIF分析の具体的なアクティビティの一連の流れを解説した上で、AEB(衝突被害軽減ブレーキ)のシステム開発を例として実際のアクティビティを説明します。

SOTIF分析とは

SOTIF分析の目的と目標

SOTIFの主な目的は、「SOTIF関連の危険事象のリスクレベルが十分に低いことを保証するため、使用するプロセスと理論的根拠を説明すること」と定義されています。これらのリスクを検証するために、関連するシナリオをベースに分析を行います。SOTIFでは、シナリオを4つの領域に分けて表現しており、SOTIFアクティビティの最終的な目標を図表1で示したとおり、「領域2および領域3に存在する潜在的な危険を評価し、これらの面積が最小であり、これらの領域におけるシナリオによって引き起こされる残存リスクが、十分に低いことを証明すること」と定義しています。

図表1:  SOTIFシナリオの4領域

SOTIFアクティビティの全体像

SOTIFアクティビティの全体像を図表2に示します。大きく9つのアクティビティに分かれており、それぞれのアクティビティの概要は以下のClause(以下、「CL.」)のとおりです。

図表2:  SOTIFアクティビティ

CL.5:SOTIFアクティビティは仕様の定義と設計から始まります。SOTIFアクティビティを通じて改善が必要となった場合は、仕様と設計が更新される可能性があります。

CL.6:意図した機能の潜在的な危険な動作に対して、危険の特定と評価を行います。

※CL.6では危険動作の原因は考慮されず、安全性への影響のみを考慮します。よって、危険動作によって生じる危険イベントを評価し、それらの受け入れ基準を定義することにフォーカスしています。

CL.7:意図した機能に危険な動作が生じ得る原因を特定し、特定された潜在的な機能の不完全性とトリガー条件から生じるリスクが、許容範囲であるかを評価します。

CL.8:リスクを評価した結果、機能変更が必要な場合は機能変更を行います。

例)センサー機能の変更、ODD(運行設計領域)の制限など

CL.9:車両レベルの残存リスクが許容範囲に収まり、コンポーネントが機能要件を満たすことを検証するためのロジックを検討します。

CL.10:既知シナリオにおける残存リスクが十分に小さいかどうかを評価するため、具体的なテストケースを定義します。

CL.11:未知シナリオにおける残存リスクが十分に小さいかどうかを評価するため、具体的なテストケースを定義します。

CL.12:残存リスクの評価を行います。

CL.13:運用上発生する可能性のあるSOTIFに関連する問題を特定し、解決するプロセスを実行します。

SOTIF分析 活用事例

AEB(衝突被害軽減ブレーキ)システムに対するSOTIF分析例

SOTIFアクティビティをより具体的に理解するため、AEB(衝突被害軽減ブレーキ)を例にハザードを引き起こす可能性のあるシステムの動作を起点とした一連のSOTIFアクティビティを考えてみましょう。

図表3にAEBシステムの「橋を障害物と誤認識し、自動ブレーキが作動」という危険な振る舞いを起点に、ハザード分析の概要を示しています。

図表3:  ハザード分析におけるAEBの事例

また、前述のSOTIFアクティビティ(図表2)に沿った、それぞれのアクティビティの一例を以下に示します。

CL.6:自動ブレーキの作動と同時に、特定のシナリオが重なった場合に発生し得る危険として、「後方からの衝突」や「乗員の床への転倒」があります。これらを運転者や乗員といったユーザーが回避できない場合に、「人の負傷」という危害に至ると分析することができます(これは「危険の特定」とも言い換えることができます)。

また、これらの危険のリスク評価として、「Controllability:回避可能性」と「Severity:過酷度」を用いて、受け入れ基準を定義します。ISO 21448では、受け入れ基準として「Controllability=0」または「Severity=0」と判断できる場合、危害リスクは許容可能であると評価します。

CL.7:「橋を障害物と誤認識し、自動ブレーキが作動」という危険な振る舞いを引き起こすトリガー条件を「橋からのレーダー反射」であると特定します。また、システム/シナリオ/ユーザーの相互作用を考慮した分析手法としてSTPA(System Theoretic Process Analysis)などの利用が推奨されています。

CL.8:「Controllability=0」(一般的に制御可能な場合)または「Severity=0」(結果的に生じる害がない場合)を満たすことができないと判断した場合、リスクを低減するために機能変更を行います。本事例では、センサー機能の改善や、地図および自車位置情報との組み合わせによる制御アルゴリズムの変更などが考えられます。

CL.9:CL.10~12で実施する検証シナリオと具体的な検証方法の検討を行い、最終的に安全性を保証するために必要なエビデンスと、それらを作成する手順を定義します。

CL.10:既知のシナリオ評価の一例として、一般道の法定速度である車速0~60km/hの範囲において、橋からのレーダー反射があった場合のシナリオを実車テストやシミュレーションなどにより評価します。

CL.11:未知のシナリオ評価の一例として、一般道の法定速度を超える車速60km/h以上の範囲に加え、天候条件や周辺の交通状況、道路環境条件などの範囲を定めた上でリスクを評価し、安全を保証できる領域を広げる活動を行います。

CL.12:CL.5~11で作成した評価結果をもとに総合的なSOTIFの達成度を評価し、SOTIFリリースを承認または却下します。また、SOTIF評価の理論的根拠を文書化する手法としてはGSN(Goal Structuring Notation)などが推奨されています。

CL.13:市場での安全性を監視するために以下のような情報を収集し、継続的にリスクを評価し、不当なリスクがある場合は解決策を講じる必要があります。

収集すべき情報例:事故レポート、緊急システム作動を引き起こしたシナリオの記録、道路環境の変化

まとめ

ISO 21448 SOTIF活動を通じ、性能限界や外部環境の影響、ユーザーまたは交通参加者による誤用/誤操作に起因するシステム故障がない状態における危険事象を防止することを目的として、トリガー条件の分析や既知/未知のシナリオ評価を通して、安全なシステムを構築します。特に車側に主導権が移る自動運転車の開発においては、安全性を保証できる範囲を明確に定め、その範囲における安全性を体系的かつ論理的に検証する必要があるため、SOTIFに準拠した対応は必要不可欠であると考えられます。

執筆者

渡邉 伸一郎

ディレクター, PwCコンサルティング合同会社

Email

糸田 周平

シニアマネージャー, PwCコンサルティング合同会社

Email

松下 尚裕

シニアアソシエイト, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}