近年、先進運転支援システム(ADAS)や自動運転の開発が加速する中で、従来の機能安全規格(ISO 26262)だけではカバーしきれない新たな安全課題が顕在化しています。
例えば、2018年に発生した自動運転車の死亡事故(Uber社の試験車による事故)では、車両のセンサーやソフトウェア自体に明確な故障がなくとも周囲の状況認識の不備によって重大な結果を招きました。
このように「システムが意図したとおりに動作していても起きうる危険」に対処するため、自動車業界は新たな安全基準としてSOTIF(Safety Of The Intended Functionality、意図した機能の安全性)という概念と規格を導入しました。
SOTIFはISO 21448として国際規格化され、2019年にPAS(Publicly Available Specification)版が発行、2022年に正式なISO規格として公表されています。
本記事では、自動運転時代の安全確保に不可欠となりつつあるSOTIFについて、体系的に説明いたします。
SOTIF / ISO21448(意図した機能の安全性)とは何か
SOTIFとは
SOTIF(Safety Of The Intended Functionality、意図した機能の安全性)とは、システムが本来意図した機能を発揮する際に、機能上の不足や限界、あるいは人間による予見可能な誤使用によって引き起こされる不合理なリスクを解消することを指します。
平たく言えば、「システムが正しく動作しているはずなのに起きてしまう事故リスク」をなくすことがSOTIFの目的です。ISO 21448ではこのSOTIFを以下のように定義しています。
「意図した機能の実行における機能不十分性(機能上の欠陥)または合理的に予見可能な誤使用によるハザードが原因となる、不合理なリスクが存在しないこと」
従来の機能安全規格では主にシステムの部品故障やソフトウェア不具合といった「機能の誤作動による危険」に焦点が当てられていました。一方、SOTIFが注目するのは、故障がなくとも発生しうる危険です。
具体的には以下のようなケースが想定されます。
①強い逆光や濃霧でカメラが白飛びし、歩行者を検知できない
②薄れたレーンマークやスキッドマークをカメラが誤認し、車線維持機能が誤作動する
③夜間に横断する自転車の動きを AI が誤予測し、適切な回避行動を取れない
④カメラとレーダの検知結果が食い違い、自動緊急ブレーキが不要に作動して後続車追突の危険を招く
SOTIFが対象とする4つのシナリオ
SOTIFでは、システムの挙動が引き起こす可能性のあるシナリオを、以下の4つの領域(エリア)に分類しています。
エリア1:既知の安全なシナリオ
エリア2:既知の危険なシナリオ
エリア3:未知の危険なシナリオ
エリア4:未知の安全な(または許容可能なリスクを持つ)シナリオ
SOTIF活動の主な目的は、2と3(特に3)を1へと移行させることにあります。
エリア1:既知の安全なシナリオ
システムが設計通りに安全に機能すると既に理解され、十分な検証がなされている状況を指します。これはSOTIF活動における理想的な到達点であり、全てのシナリオが最終的にこのエリアに分類されることを目指します。
例えば、適切に設計・検証されたアダプティブクルーズコントロールが、明確に定義されたODD(運行設計領域)内で、前走車との車間距離を安全に維持しながら追従するケースなどがこれに該当します。
エリア2:既知の危険なシナリオ
システムの設計段階、過去の事故事例やヒヤリハットの分析、あるいはハザード分析などから、特定の状況下で危険を引き起こす可能性があると既に認識されているシナリオを指します。
SOTIFでは、これらの既知の危険に対して適切な安全対策を講じ、リスクを許容可能なレベルまで低減させるか、理想的にはエリア1(既知の安全なシナリオ)へと移行させることが求められます。
具体例としては、センサーやアクチュエータの技術的限界による検知ミスが設計時に認識されている場合(例:悪天候や逆光によってカメラセンサーが物体を正確に認識できない可能性)などが挙げられます。
また、合理的に予見可能な範囲での機能の誤使用(例:本来高速道路用の運転支援機能をドライバーが市街地で使用してしまい、信号機の認識能力がないため赤信号を無視する結果となる可能性)も、このエリアで対処すべき既知の危険と言えるでしょう。
エリア3:未知の危険なシナリオ
「エリア3:未知の危険なシナリオ」は、SOTIFにおいて特に対処すべきとされる領域です。具体的には、システム開発時には予見されていなかったものの、市場投入後の実環境での使用や、より詳細な分析・テストによって、実際には危険を引き起こす可能性があると判明するシナリオを指します。
特に検証すべきは「未知の状況での挙動」や「機能不足による危険」です。
例えば、ある車両システムが前方障害物を認識するためにカメラに依存している場合、カメラ自体は正常に機能していても、開発チームが想定していなかった特殊な路上状況(特定の光の加減と路面状態の組み合わせや、非常に稀な形状の障害物など)では物体を見落とす可能性が考えられます。これは、システムに故障がなくても発生し得る「機能不足による危険」の典型です。
SOTIF活動では、このような「未知の危険」をいかにして特定し、分析し、エリア2(既知の危険なシナリオとして対策を講じる)またはエリア4(分析の結果、安全または許容可能と判断)へ移行させるかが重要となります。
エリア4:未知の安全な(または許容可能なリスクを持つ)シナリオ
当初はその挙動や安全性が不明であったものの、詳細な分析やテストの結果、実際にはシステムが安全に機能する、あるいは潜在的なリスクが存在するとしてもそれが社会的に許容可能なレベルであると判断されるシナリオを指します。
ただし、あるシナリオがこのエリアに分類される際には、安全であると判断された根拠や、許容可能と判断されたリスクレベルについて、明確な文書化とトレーサビリティの確保が不可欠です。
SOTIFのプロセスは、これらの4つのエリアごとにシナリオを評価し、リスクを継続的に管理していく活動です。
その根本的な目標は、全てのシナリオを可能な限りエリア1(既知の安全なシナリオ)に近づけることです。
そのために、まずエリア3(未知の危険なシナリオ)を探索的に特定し、分析を通じてエリア2(既知の危険なシナリオ)またはエリア4(未知の安全なシナリオ)へと移行させます。
エリア2に分類されたシナリオに対しては、具体的な安全方策を導入し、リスクを効果的に低減してエリア1へと移行させるという一連の流れを繰り返します。
SOTIF(ISO21448)とISO 26262の違い
ISO 26262とSOTIF(ISO 21448)は、自動車の安全性に関わる国際規格ですが、その焦点と対象範囲が異なります。ISO 26262は主に電気電子システムの故障に起因するリスクを扱い、機能安全を確保することを目的としています。
一方、SOTIFはシステムの故障がない状態での意図した機能の性能限界や、予期せぬ環境要因、ドライバーの誤用などによって生じるリスクに対処します。
両規格は相互に補完し合う関係にあり、特に自動運転システムのような高度な機能においては、両方への対応が求められます。
日本における自動運転の動向とSOTIF適合に向けた課題
最後に、日本国内における自動運転開発の動向と、SOTIF概念の普及・制度化の状況について考察します。
自動運転実用化に向けた安全性への取り組み
日本は自動運転の実用化に向けた法制度整備やガイドライン策定において、比較的早期から取り組んできました。
日本では2019年に道路交通法・道路運送車両法が改正され、レベル3自動運転システム搭載車(特定条件下での自動運転)の公道走行が法律上可能となりました。それに伴い、国土交通省は「自動運転車の安全技術ガイドライン」を策定し、レベル3およびレベル4の自動運転車が満たすべき安全要件を取りまとめています。
このガイドラインでは「自動運転システムが引き起こす人身事故ゼロ社会の実現」が目標に掲げられ、具体的な安全定義として「ODD(運行設計領域)内において、自動運転システムが引き起こす人身事故であって合理的に予見されかつ防止可能な事故が生じないこと」を挙げています。
これはまさにSOTIFの理念(合理的に予見可能なリスクの排除)を反映した内容となっています。さらに、安全要件の中にはドライバーモニタリング機能の装備や、サイバーセキュリティ対策、ユーザーへの情報提供など、総合的な安全策が求められています。
業界団体・企業の取り組み
日本の自動車業界もまた、自動運転の安全性評価手法について共同で取り組んでいます。その代表例が、一般社団法人日本自動車工業会(JAMA)が中心となって策定している「自動運転の安全性評価フレームワーク」です。
このフレームワークでは、安全原則から具体的な評価手法への落とし込みが整理されており、SOTIFや機能安全の考え方を織り交ぜつつ、シナリオベースで安全を実証する枠組みが示されています。
国際的には、ドイツのTÜV SÜD社がISO 21448のプロセス認証サービスを開始するなど、SOTIFへの適合を目指す動きがあります。
SOTIF適合に向けた日本の課題
日本の交通環境は、欧米諸国と比較していくつかの特徴的な課題を抱えています。
まず、高速道路から都市部の一般道、狭隘な生活道路まで、道路の種類が非常に多様です。一時停止や複雑な右左折指示のある交差点、合流・分岐、踏切なども多く存在します。
さらに自動車だけでなく、自転車、歩行者(特に高齢者や子供)などが狭い道を共有しており、これらの交通弱者の予測しにくい動きへの対応が求められます。
加えて日本は雨が多く、また冬は特に日本海側で豪雪に見舞われます。豪雨や降雪、路面凍結など、センサーの性能に影響を与えやすい気象条件も考慮に入れる必要があるでしょう。
こうした日本の交通環境は、自動運転システムの認識機能にとって大きな課題です。SOTIFの観点から考慮すべき「未知の危険シナリオ」や「性能限界が露呈しやすい状況」が数多く潜んでいるためです。
例えば、狭い道での対向車とのすれ違い、歩行者が多い横断歩道付近での右左折、予期せぬ工事区間への進入などは、SOTIF分析において特に注意深く評価すべきシナリオでしょう。
まとめ
SOTIFは 「システムが正常動作している時に潜むリスク」を取り除くための考え方であり、ISO 26262の機能安全を補完する新たな安全規範です。ADASや自動運転の実用化にあたって準拠すべき内容が盛り込まれています。
国内でも自動車メーカーがSOTIF適合に向けた動きが始まっています。今後、自動運転の実用化が進むにつれて、SOTIFはますます重視されていくと考えられます。
STELAQの国際規格適合コンサルティングサービスでプロジェクトを成功に導きます
STELAQではSOTIFや機能安全をはじめとする、国際/業界標準規格に準拠した開発プロセスの導入・定着を支援しています。当社コンサルタントが伴走し、車載ソフトウェア開発におけるプロセスとプロダクトの品質向上に寄与します。
- 取引先より準拠要請があったが、何から始めたら良いかわからない
- 準拠プロセスと開発現場にギャップがあり、運用がうまくできていない
- 運用するためのツールや仕組みの最適化ができていない/わからない
- 教育担当部署がなく、現場社員の理解・協力が進まない
など、国際規格への準拠、社内体制含むプロセス構築、現場教育などに課題をお持ちでしたら、ぜひ一度STELAQにご相談ください。貴社の状況に合わせた最適な支援プランをご提案し、プロジェクト成功を全力でサポートいたします。
お問い合わせ