ISO 21448 SOTIF（Safety of the intended functionality）意図した機能の安全性―アクティビティ解説編―

はじめに

本稿では、2022年6月30日に発行されたISO 21448で定義されているSOTIF（意図した機能の安全性）の具体的なアクティビティについて解説します。「ISO 21448 SOTIF（Safety of the intended functionality）意図した機能の安全―概要編―」では、「SOTIFとは何か」という問いに対して、ISO 26262（機能安全）との守備範囲の違いを整理した上で、自動運転システムにおけるSOTIFの必要性について解説しました。

本稿では、特に自動運転システムの開発において活用されるSOTIF分析の具体的なアクティビティの一連の流れを解説した上で、AEB（衝突被害軽減ブレーキ）のシステム開発を例として実際のアクティビティを説明します。

SOTIF分析 活用事例

AEB（衝突被害軽減ブレーキ）システムに対するSOTIF分析例

SOTIFアクティビティをより具体的に理解するため、AEB（衝突被害軽減ブレーキ）を例にハザードを引き起こす可能性のあるシステムの動作を起点とした一連のSOTIFアクティビティを考えてみましょう。

図表3にAEBシステムの「橋を障害物と誤認識し、自動ブレーキが作動」という危険な振る舞いを起点に、ハザード分析の概要を示しています。

また、前述のSOTIFアクティビティ（図表2）に沿った、それぞれのアクティビティの一例を以下に示します。

CL.6：自動ブレーキの作動と同時に、特定のシナリオが重なった場合に発生し得る危険として、「後方からの衝突」や「乗員の床への転倒」があります。これらを運転者や乗員といったユーザーが回避できない場合に、「人の負傷」という危害に至ると分析することができます（これは「危険の特定」とも言い換えることができます）。

また、これらの危険のリスク評価として、「Controllability：回避可能性」と「Severity：過酷度」を用いて、受け入れ基準を定義します。ISO 21448では、受け入れ基準として「Controllability=0」または「Severity=0」と判断できる場合、危害リスクは許容可能であると評価します。

CL.7：「橋を障害物と誤認識し、自動ブレーキが作動」という危険な振る舞いを引き起こすトリガー条件を「橋からのレーダー反射」であると特定します。また、システム／シナリオ／ユーザーの相互作用を考慮した分析手法としてSTPA（System Theoretic Process Analysis）などの利用が推奨されています。

CL.8：「Controllability=0」（一般的に制御可能な場合）または「Severity=0」（結果的に生じる害がない場合）を満たすことができないと判断した場合、リスクを低減するために機能変更を行います。本事例では、センサー機能の改善や、地図および自車位置情報との組み合わせによる制御アルゴリズムの変更などが考えられます。

CL.9：CL.10～12で実施する検証シナリオと具体的な検証方法の検討を行い、最終的に安全性を保証するために必要なエビデンスと、それらを作成する手順を定義します。

CL.10：既知のシナリオ評価の一例として、一般道の法定速度である車速0～60km/hの範囲において、橋からのレーダー反射があった場合のシナリオを実車テストやシミュレーションなどにより評価します。

CL.11：未知のシナリオ評価の一例として、一般道の法定速度を超える車速60km/h以上の範囲に加え、天候条件や周辺の交通状況、道路環境条件などの範囲を定めた上でリスクを評価し、安全を保証できる領域を広げる活動を行います。

CL.12：CL.5～11で作成した評価結果をもとに総合的なSOTIFの達成度を評価し、SOTIFリリースを承認または却下します。また、SOTIF評価の理論的根拠を文書化する手法としてはGSN（Goal Structuring Notation）などが推奨されています。

CL.13：市場での安全性を監視するために以下のような情報を収集し、継続的にリスクを評価し、不当なリスクがある場合は解決策を講じる必要があります。

収集すべき情報例：事故レポート、緊急システム作動を引き起こしたシナリオの記録、道路環境の変化