| 複雑化するADAS・自動運転の「安全」を確保する二大原則 |
ポルシェはいかにして「安全」を確保しているのか?
先進運転支援システム(ADAS)や自動運転(AD)の進化に伴い、車両システムの複雑性が爆発的に増大しているというのが現在の状況です。
この複雑な現代の車両システムにおいて安全性を確保する上で不可欠な二つの柱が「機能安全(FuSa:Functional Safety)」と「意図した機能の安全性(SOTIF:Safety of the intended functionality)」であり、今回の話題はこの2つ。
ポルシェの専門家は、この二つを補完的に組み合わせた統合的な安全プロセスを顧客に提供し、システムの初期設計からリリースまで安全適合性を保証しています。
ここではこの「二大原則の違い」、そしてポルシェがどのようにして現実世界での「無限の複雑性」を克服しようとしているのかを見てみましょう。
この記事のハイライト
- 安全性の二面性:FuSaは「故障」によるリスクに対処(ISO 26262準拠)、SOTIFは「非故障時の性能限界や環境起因」によるリスクに対処(ISO 21448準拠)
- 自動運転レベル3の課題:ドライバーの監視義務がなくなるため、システムの故障対応(FuSa)と現実世界への対応力(SOTIF)が飛躍的に重要に
- ポルシェの解決策:ADAS/AD開発の複雑な検証を管理するため、FuSaとSOTIFを明確に統合したプロセスとデータ駆動型シナリオ生成や冗長性の活用を推進
- 未来の規格:AIの安全性に対応するISO/PAS 880や、ホリスティック安全性を扱うISO/TS 5083など、新たな国際標準にも対応
「機能安全(FuSa)」と「SOTIF」の違いを理解する
FuSaとSOTIFは、現代の車両システムの安全性を成り立たせるための「クルマの両輪」。
FuSa(ISO 26262)が従来の安全規格であるのに対し、SOTIF(ISO 21448)はADASや自動運転の時代に新しく加わった安全規範です。
| 安全の柱 | 焦点となる質問 | 対象リスク(何が危険を引き起こすか?) |
| 機能安全 (FuSa) | ソフトウェアやハードウェアが故障したらどうなるか | 内部の誤作動、センサーの故障、ソフトウェアエラーなど、故障に起因するリスク |
| SOTIF | システムが故障なしで動作しているのに、現実の状況をマスターできなかったらどうなるか | センサーの性能限界(逆光)、アルゴリズムの認識失敗、複雑な運転シーンなど、非故障に起因するリスク |
FuSaとSOTIFの補完関係
ポルシェ・エンジニアリングのシステム安全部門シニアマネージャー、マレク・フデツ氏は以下のように説明します。
「FuSaはハードウェアとソフトウェアが確実に動作することを保証します。SOTIFは、これらの信頼性の高いコンポーネントの能力が、現実世界で安全に動作するのに十分であることを保証します。」
つまりシステムは従来のFuSaの観点からは安全であっても、性能限界によるSOTIFの観点からは不十分である可能性があるため、両者を統合して取り組む必要があるというわけですね。
SOTIFにおける「反復的アプローチ」の重要性
FuSaが構造化された分析プロセスに基づいているのに対し、SOTIFは「探索的な発見プロセス」という違いがあり、開発エンジニアのデニス・ミュラー氏が指摘するように、SOTIF達成のためには、開発者がシステム設計を「仕様化→テスト→改訂」という反復(イテレーション)を繰り返すことで、許容可能な残留リスクに到達するまで改善を重ねることが不可欠です。
よってポルシェ・エンジニアリングは、このSOTIFとFuSa両方の安全メソッドを含む包括的なソリューションを提供している、ということに。
自動運転レベル3の「巨大な課題」とポルシェの解決策
そして自動運転レベル3(条件付き自動運転)に移行すると、ドライバーは恒常的な注意義務から解放されますが、この変化はシステムの安全保証に計り知れない課題をもたらします。
レベル3で激増する「故障」への責任(FuSaの課題)
レベル2までは、運転操作の全責任はドライバーにあり、しかしレベル3以降はシステムが故障を自律的に処理できなければならず・・・。
- 故障時の継続的な安全動作:システムが限界に達した場合のみ、適切な警告期間を経てドライバーが介入することが求められるため、故障が発生しても、少なくとも一定期間は安全な動作が保証され続けなければならない
- 冗長性の増加:これにより、車両のエレクトロニクスにおける冗長性(バックアップ機能)の数が急増し、開発工数とコストが大幅に増加する
例えば、先行車との距離を測定するレーダーセンサーが故障した場合(FuSaの課題)、冗長性がないと衝突のリスクが生じますが、ポルシェ・エンジニアリングはこのような失敗を防止するために安全分析を通じて故障を特定し、冗長化などの安全メカニズムでそれを検証することに。
「未知の危険」との闘い(SOTIFの課題)
SOTIFに関する最大の課題は、システムがマスターしなければならない「あり得るすべての運転シナリオの集合」の深さと広さ。
- 未知の危険なシナリオ:絶えず変化する車両の周囲環境、他の交通参加者の予期せぬ行動、そして開発中に考慮されなかった「未知の危険なシナリオ(Unknown unsafe scenarios)」の発見と最小化がSOTIFの核となる目標
- ODD(運行設計領域):この複雑性に対処するため、システムはまず特定の「ODD(Operational Design Domain)」向けに設計され、システムはこの定義されたODDの境界に近づいていることを早期に検出し、ドライバーに制御を渡すか、安全に車両を停止させることが求めらるれる
結論:「無限の複雑性」への挑戦と未来規格への対応
フデツ氏とミュラー氏は、現在の最大の課題は「システムそのもの」ではなく、「ほぼ無限の複雑性を持つ現実」にあると強調しており・・・。
「すべての想定可能なシナリオを事前にテストすることは不可能ですが、動作範囲の十分なカバレッジを達成する必要があります。SOTIFは、システムコンポーネントが完全に機能している時でさえ、システムの限界を理解し、安全に設計するための枠組みを提供します。」
ポルシェ・エンジニアリングは、AIを用いたコーナーケース(稀な特殊ケース)の認識や大量のテストデータ生成のためのシミュレーションなど、最先端の方法を駆使してこの課題に挑んでいます。
さらにはAIが組み込まれた安全システムの検証を扱うISO/PAS 880や車載コンポーネントだけでなく、車外コンポーネント(インフラなど)も考慮に入れた自動運転の「ホリスティック安全性」に焦点を当てたISO/TS 5083といった新たな国際標準草案にも積極的に対応している、とのこと。
この一貫した安全へのコミットメントこそが、ポルシェの車両が未来のモビリティにおいて、最も安全で信頼できるシステムであり続けることを約束しているわけですね。
ポルシェがこういった分野に対してここまでの注力を行うことは「意外」ではありますが、これこそがポルシェにとっての「一つの未来」ということになりそうです。
合わせて読みたい、ポルシェ関連投稿
-
-
これほど「乗るのが怖い」クルマは他にない。ポルシェ「カメラカー」──718ボクスターSをベースにした究極の撮影マシンが公開
Image:Porsche | 学生プロジェクトから生まれた「撮影専用ポルシェ」 | その目的は「極限走行に耐えうるカメラカーを作ること」 ポルシェのライプツィヒ工場では、技術者を志す見習いたちが実践 ...
続きを見る
-
-
ポルシェがカレラGTを「20年ぶりに」アップデート。ミシュランとの共同開発によって”パフォーマンスと安全性が向上する”新型タイヤを提供開始
Image:Porsche | この新しいタイヤによって「どれくらいパフォーマンスが向上するか」が気になるところである | そしてそのパフォーマンスの向上=タイヤの進化ということに さて、先日はポルシ ...
続きを見る
-
-
ポルシェ911各世代はこう進化した。サイズ / 重量 / パワー、さらには価格と前後重量配分までを徹底比較。重量は1.5倍、出力は3倍、価格は4倍に
|ポルシェ911の歴代進化をデータで体感| ポルシェは911のパッケージングを「頑なに」守り続けている ポルシェ911は誕生から半世紀以上を経てなお、その「黄金比」を保ちながら進化を続けるスポーツカー ...
続きを見る
参照:Porsche
や自動運転(AD)の進化に伴い、車両システムの複雑性){kind=link}