- 2022-11-16
- 制御・IT系, 機械系, 研究・技術紹介, 電気・電子系
- Automotive SPICE, HARA分析(ハザード分析およびリスクアセスメント。危険な状況を特定する技術), ISO26262, Jungbae Yoon, PoC(Proof of Concept:概念実証)プロジェクト, RFQ(見積要求書), SOTIF(ISO21448), SVNet, Tesla, アジャイル開発, ストラドビジョン, ディープラーニングアルゴリズム
本記事は、自律運転車両向けの物体認知AIソフトウェアスタートアップであるSTRADVISION (以下、ストラドビジョン)のProcess & Safety チームリーダー、Jungbae Yoon氏に、ISO26262の基本情報や、自動車業界で求められるソフトウェア企業の条件やポイントなどをお聞きする連載企画です。
前編はこちら
韓国のソフトウェア企業として初めて「ISO26262」を取得したストラドビジョン社に聞く、自動車の機能安全国際規格「ISO 26262」
連載前編では、ストラドビジョンのプロダクトや「ISO 26262」の概要についてご紹介しました。続く後編では、規格としての「ISO26262」の限界やそのための対策に加え、自動車業界で求められるソフトウェア企業の条件やポイント、ストラドビジョンの今後の展望などをご紹介します。
Jungbae Yoon氏
ストラドビジョンProcess & Safety チームリーダー
自動車ソフトウェア業界で求められる機能安全に準拠した全社標準プロセスを構築する責任者。前職はドイツのデンソーでテクニカルマネージャーを務め、その前は米Ford Motor、独Bosch Engineeringなどの製造業にてシステム・ソフトウェア開発のキャリアを重ねてきた業界のスペシャリスト。
自律運転のためのAIはISO 26262に準拠していればいいのか?
―ISO 26262に準拠したソフトウェアは、安全と言えるのでしょうか?
[Yoon氏]当社のSVNetに限ったことではないのですが、どの物体認識AIソフトウェアも、正常な動作における物体認知には限界があります。たとえ正常に動作していたとしても、予期しないシナリオが発生する可能性があるため、すべての危険をなくすことができないのです。それが規格としてのISO 26262の限界です。そのため当社では、別の国際規格である「SOTIF(ISO21448)」を満たすことを次のゴールとしています。
SOTIFは “Safety of The Intended Function “の略です。ISO26262では、車両機能の故障に対する安全性を保証していますが、車両内部の機能的な故障がなくても危険が生じる可能性があります。システムが意図した機能の限界や不十分さ、人による誤用を原因とするリスクをなくすことに重点を置いた規格がSOTIFで、ISO 26262でカバーできない、予期せぬ範囲のリスクに対応することができます。
―ISO 26262とSOTIFの違いについて、もう少し詳しく教えていただけますか?
[Yoon氏]ISO26262は、自動車の電子システムのソフトウェアを開発するすべてのソフトウェア会社が遵守しなければならない基本的な規格です。さらに、自律運転分野のソフトウェアでは、SOTIFを考慮する必要があります。
SOTIFとISO 26262の違い
[Yoon氏](SOTIF) ISO 21448:2021 はもともと ISO 26262のパート14を意味していました。しかし、未知の状況で (システム障害なしで) 自動運転車の安全を確保することは非常に複雑であるため、完全に別の規格になりました。
簡単に言えば、ISO26262は、システム障害が発生した場合に機能安全を確保する方法について、自動車メーカーにガイダンスを提供します。システム障害の例としては、ステアリングアシストの喪失、電子パーキング ブレーキの故障、衝突回避の不具合、意図しないエアバッグの展開などがあります。これらはすべて、電気または電子システムの障害によって引き起こされる誤動作です。
SOTIF は ISO 26262 に基づいており、補完的な標準として機能します。 システム障害を発生させずに、発生する可能性のある安全上の問題を防止、制御、および軽減する最善の方法を説明します。 SOTIF は高度な運転支援システムなどのシステムに適用され、故障することなく安全上の問題に直面する可能性があります。
例えば、エアバッグの制御ソフトウェアの場合、ISO26262のみを考慮すれば良いのですが、我々のようにディープラーニングに基づく物体認知AIは、先ほどお伝えしたように予期せぬ範囲のリスクに対応するために、ISO26262とSOTIFの両方を考慮する必要があるのです。
自動車業界で求められるソフトウェア企業の条件やポイントとは
―量産車両向けの安全面を考慮したソフトウェア開発を行うには、どんな考え方や対応が必要でしょうか?
[Yoon氏]まずは、顧客であるOEMが要求するすべての機能要件(性能要件を含む)を満たすことが重要です。例えば、あるお客様は歩行者と車だけを高い精度で検出することを求め、別のお客様は二輪車や動物も検出し、さらに高い検出率を求めることがあります。そのため、それぞれのお客様の要求を目標とするのです。
通常、量産開発プロジェクトに入る前に、PoC(Proof of Concept:概念実証)プロジェクトという段階を踏みます。このフェーズでは、当社のソフトウェアが顧客の要件を満たすことができることを実証します。OEMは、ソフトウェアのパフォーマンスが要件を満たすと判断した後、RFQ(見積要求書)の手続きに進み、この段階で、OEMはサプライヤーの品質と安全性の能力も調査します。品質と安全に関する活動は、量産開発段階から適用されます。その後、量産が開始されます。
―さまざまな基準をクリアし、品質だけでなく安全性も必要となるのですね。自動車業界に、ソフトウェア業界から参入する場合、どのような課題がありますか?
[Yoon氏]一般的なソフトウェアスタートアップは、自動車産業に参入しようとしても、そのケイパビリティから、業界について詳しく理解することが難しいのではないかと思います。当社には、内部にISO 26262やAutomotive SPICEを担当する専門部署があります。これは、自動車関連の仕事をよく理解していることを示しています。これに加え、自動車サイバーセキュリティの規格であるISO21434も必要になるでしょう。
もしも、OEMに対する新しいサプライヤーになるなら、これらの規格に準拠しているという能力を証明しなければなりません。これらの規格に対応するためのプロセス、組織、インフラを構築するためには、通常、数年の期間を要するのではないでしょうか。ソフトウェア開発においても、これらの規格に対応するためには、より多くの人的資源と労力を必要とし、より大きな開発チームと、より長い開発スケジュールを必要とするでしょう。
―Yoonさんは自動車メーカーやOEMにもいらっしゃいました。メーカーの視点で、物体認知をはじめとする、車両のインテリジェント化を進める際に感じている課題について教えてください。
[Yoon氏]自動車メーカーやOEM側もソフトウェアの重要性を理解していますが、イノベーションのジレンマに陥っているように思えます。これは、Teslaをご覧いただければよく分かります。Teslaの車両は、一斉にソフトウェアのアップデートが可能です。一方、旧来の自動車メーカーやOEMにも立派なソフトウェアがあるのですが、長年開発を重ねてきたことで非常に複雑になっています。そのアーキテクチャ自身が障害となってしまい、Teslaのように統合した仕組みを実現できない状況にあります。
自動車には安全が求められるため仕方のないことですが、OEMは「新しい技術が十分に安全であると、信頼できるのか?」ということを求めます。ここで問題なのは、新しい技術が実際の環境で安全かどうかを証明することが難しいことです。
他社製品も含め、現在のディープラーニングアルゴリズムは説明可能性に欠ける部分があり、入力された画像から物体を検出・分類するアルゴリズムの仕組みを、人間が詳細に説明することが困難だという問題があります。
安全性の証明は、シナリオベースのテストで解決しようとしていて、いわゆるHARA分析(ハザード分析およびリスクアセスメント。危険な状況を特定する技術)から、さまざまなテストシナリオを導き出しています。現在は、実際に道路で録画した画像を入力値として行っていますが、将来的には、走行環境のシミュレーション環境による入力なども考えています。
自動車業界のやり方に、アジャイルの方法論を取り入れていく
―ソフトウェア企業として今後どのように自動車業界に貢献していこうと考えているのですか?
[Yoon氏]自動車業界での標準となっているAutomotive SPICEやISO26262におけるソフトウェア開発では、Vサイクル開発が行われています。これは、要求分析-アーキテクチャ設計-詳細設計-単体テスト-統合テスト-認定テストの6つのステップで構成されています。最近のアプローチでは、ユーザーからのフィードバックやデータから得た洞察を元に、設計・実装・デプロイを短期間に繰り返して価値を高めていくアジャイル方式も注目されています。
ISO26262やAutomotive SPICEに準拠しながらアジャイル開発することは容易なことではありませんが、このプロセスを確立することが我々の次の目標と考えています。ソフトウェア企業と自動車業界の両社の良い面を活かしたプロダクト開発を行っていきたいと思っています。
説明可能性に欠けるというディープラーニングアルゴリズムの課題については、たとえテスト結果で安全と証明されても、信頼性に疑念が残ると思います。今後も引き続き、AIの安全性の限界を補完するためにアルゴリズムについてさらに研究するべく、組織レベルの研究・能力向上を目指していきます。