null

2014年度ソフトウェア工学分野の先導的研究支援事業
成果概要
システムモデルと繰り返し型モデル検査による
次世代自動運転車を取り巻く
System of Systemsのアーキテクチャ設計
慶應義塾大学西村秀和
目次
1.
2.
3.
4.
5.
2
研究概要
研究成果
成果の活用見込み
研究成果の発表、投稿、引用等
まとめ
2014年度ソフトウェア工学分野の先導的研究支援事業
１．研究概要
次世代自動運転車の導入に向け、それを取り巻く交通インフラ、各種情報
システムを含む周辺環境、ドライバなどをSystem of Systems（SoS）として捉え
た上で、安全性を考慮したアーキテクチャを構築する。
自動運転技術の研究のみでは、システムレベルでの安全性の確保は難し
いため、安全なSoSアーキテクチャを構築することが課題と考える。
3
2014年度ソフトウェア工学分野の先導的研究支援事業
１．研究概要：研究の進め方
安全性要求
研究目標１：
システムモデルの記述
システム
モデル
研究目標２：
安全性要求の明確化
システム
モデル
ドライバの
振る舞い
研究目標３：
ドライバモデル構築
安全性
要求
モデルの修正箇所
検証対象
研究目標４：
モデル検査による安全
性の検証
安全性要求の見直し
フィードバック
タスク・手順・研究目標間の関係
研究目標５：
SoSアーキテクチャ設
計・更新方法の確立
4
2014年度ソフトウェア工学分野の先導的研究支援事業
研究目標５：
２．研究成果：SoSアーキテクチャ設計・更新方法
フィードバック
社会レイヤー
検証対象
利用レイヤー
フィードバック
SoSの分析・設計
（システムモデル）
Verification（モデル検査・
システム解析）
検証結果
Constituent Systems (CS)
間の分析・設計
検証対象
検証結果
実現に向けた
具体的な検討
Verification
実装のための
分析・設計
実装レイヤー
検証対象
5
検証結果
フィードバック
検証対象
CSへの
要求
Verification
各CSの分析・設計
機能レイヤー
CS間の関係
の定義・要求
検証結果
Verification
2014年度ソフトウェア工学分野の先導的研究支援事業
実装に
関する
要求
研究目標２：
２．研究成果：SoSアーキテクチャ
SoS構成システムの振る舞いを検討し、
各構成システムの要求を導出
SoS構成システムの構成とそれらの
相互作用を用いたコンテキスト定義
bdd [Package] RISE System of Systems [
Academic Version
for Teaching Only
]
Commercial Development
is strictly Prohibited
«block»
Extended Definition of System of Systems for Automated Driving System
«block»
«SoS»
«block»
«CS»
«block»
«CS»
System of Systems
for Automated Driving System
Wireless Communication System
GPS Navigation System
req [Package] SoS Requirements [
«requirement»
SoS T op Req
Left side oncoming mobility :Academic
Side Mobility [0..*]
Version for Teaching Only
Side mobility : Side Mobility [0..*]
Commercial Development is strictly Prohibited
Right side oncoming mobility : Side Mobility [0..*]
Opposite side oncoming mobility : Potential Mobility [0..*]
First leading Mobility : Leading Mobility [0..1]
Second leading mobility : Leading Mobility [0..1]
Rear mobility : Rear Mobility [0..1]
train : Train
«block»
«Entity»
Obstacle
«block»
«CS»
«block»
«CS»
«block»
«CS»
Ego Vehicle
Driver
Information&Communication
Technology System
Physical Environments
bdd [Package] Context [
detect EVD state
構造
1..*
«block»
«Entity»
RS
Urban Road
1..*
1..*
HR
«block»
«CS»
Transport
Infrastructure System
detect SM
driving state
«block»
«CS»
transmit SM integrated info
detect EV driving state
ADS operation in System of Systems
Pe info(d)
EV driving state(d)
[normal state]
execute
ADS control
EV driving state(t)
«allocate»
]
EVD : Ego Vehicle
Driver
PE info(p)
TIS : Transport
Infrastructure System
Ego Vehicle Driver&ADS state
EV driving
state(p)
environment
[Re-awake in AT] /
provide
execute ADS support
traffic signal
EV driving
state(t)
SM driving
state info(d)
振る舞い
Drowsy
manage
EV driving
state(p)
Automated Driving
[override]
PHE info(d)
control
control SM
driving
[re-attentive or re-awake in AT] /
execute gather
ADS support
Tis
integrated
info(t)
Tis
integrated
info(t)
references
do : Domain of SoS for ADS
references
Do : Domain of SoS for ADS
values
«moe» operational safety level of ADS
ADS OSL Eq : Operational Safety Level of ADS Eq uation
Safety Driving State Level
of Driver Analysis
manage
traffic flow
process
traffic data
Driving Authority Delegation
Correctness Analysis
constraints
{operational safety level of ADS = weig hted sum utility «block»
of moes}
appear object
«block»
Operational Safety Level of ADS Analysis
ADS OSL Eq : Operational Safety Level of ADS Equation
«constraint»
«objectiveFunction»
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
PHE info(d)
pass through
crosswalk
«block»
Probability of ADS Failure/
Functional Limit Analysis
references
ADS controllability
«equal»
transmit SM
info
EV
[follow ADS]
[drowsy/distracted]
/ ADS
EVD
cmd
restore driver in normal Academic
state
ADS
drive SM
traffic info
ADS functional limitoperate
ADS support
info(t)
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
do : Domain of SoS for ADS
transmit
traffic info
perceive
surrounding
environment
references
制約
references
do : Domain of SoS for ADS
«block»
Traffic Environment Information
Construction Accuracy Analysis
references
do : Domain of SoS for ADS
ADS_FFL probability
level
DAD correctness
TEIC accuracy
Academic
Version for SDS
Teaching
Only
«equal»Academic Version for Teaching
«equal» Only
«equal»
«equal»
Commercial
Development
isProhibited
strictly
Prohibited
Commercial
Development is strictly
drive EV
state(d)
[normal state] /
delegate driving authority
Manual Driving
SM driving
state info(p)
SM integrated
info(t)
traffic
Tis /
[Drowsy]
signal
restore driver in normal state
[Distracted]
/
decide
EVin
drive
restore driver
normal EVD
state
ICTs
integrated
traffic info(t)
TIS info(p)
ICTs
[No response in AT] /
TISminimum
info(p)
execute
risk maneuver
Automated Driving System
6
TIS info(d)
Academic Version for Teaching integrated
Only
traffic info(t)
Commercial Development is strictly
Prohibited
PE info(d)
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
Distracted
Academic Version for Teaching Only
Academic Version for Teaching Only
Commercial
Development is strictly Prohibited
Commercial Development is strictly Prohibited
«allocate»
ICTs : Information&Communication
Technology System
system
EV
driving
state(p)
[No response in AT] /
PHE info(p)
execute minimum risk maneuver
ADS OS level
«allocate»
PHE : Physical Environments
[Blink rate ==
low]
system
EV
driving
state(d)
[Re-attentive in AT] /
perceive
execute
ADS support
sourounding
[re-attentive or re-awake in AT]
«allocate»
«block»
Automated Driving
Controllability Analysis
do : Domain of SoS for ADS
«equal»
«block»
PE : Pedestrian
]
«block»
ADS Safety Analysis Context
[no response in AT]
«allocate»
provide
road
Normal
execute
minimum risk
maneuver
ADS Safety Analysis Context
]
operational safety level of ADS
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
ADS control cmd
ADS support info(t)
SM : Surrounding Mobility
Identify surrounding
environment
TIS info(d)
TIS info(p)
Ego Vehicle Driver
Academic Version for Teaching Only
SM driving
[Gaze direction
ADS on
state info(p)
Commercial Development is strictly Prohibited
== dispersed]
Operational Safety Level of ADS Analysis
[override request]
«allocate»
EV : Ego Vehicle
bdd [Package] Parametric [
[
delegate driving
authority
ADS support info(t)
EVD ADS cmd
[no override request]
«allocate» state
Description of EVD&ADS
restore
driver in
normal state
[EVD distracted or drowsy]
ADS control cmd
Sm integrated info(t)
EVD state(d)
ドライバモデル
の構築
システム
モデル
par [Block]
[ADS functional limit and override request]
[EVD normal state]
Tis integrated info(t)
Sm driving state info(d)
安全性要求
の明確化
SoS_T IS Req 5
detect pedestrian
]
ICTs integrated
traffic info(t)
«requirement»
«SoS Req»
SoS_ICT s Req 5
Text = "ICTs should provide ICTs integrated traf f ic
inf ormation to other mobility"
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
[EVD distracted or drowsy]
identify
traffic
situation
SoS_EVD Req 4
Text = "EVD should identif y traf f ic situation properly"
Academic Version for Teaching Only
Text = "TIS should collect ICTs Commercial Development is strictly integrated
Prohibited
traf f ic inf ormation"
detect pedestrian
Pedestrian
Tis info(d)
«requirement»
«SoS Req»
SoS_ICT s Req 4
Text = "ICTs should process traf f ic data"
«requirement»
«SoS Req»
detect physical environment
Physical Environments
«block»
«CS»
perceive pedestrian
«requirement»
«SoS Req»
SoS_EVD Req 3
Text = "EVD should understand/monitor ADS control
operation"
«requirement»
«SoS Req»
«requirement»
«SoS Req»
SoS_SM Req 4
SoS_T IS Req 6
detect object
«block»
«CS»
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
act [Activity] ADS operation in System of Systems [
«requirement»
«SoS Req»
SoS_ICT s Req 3
Text = "TIS should provide TIS integrated inf ormation"
perceive SM driving state
perceive physical environment
«requirement»
«SoS Req»
SoS_EVD Req 2
Text = "EVD should be restored by ADS support"
Text = "ICTs should collect
TIS integrated inf ormation"
Text = "SM should collect EV driving state
inf ormation"
«requirement»
«SoS Req»
detect traffic environment
モデル検査に
よる安全性の
検証
«requirement»
«SoS Req»
SoS_ICT s Req 2
Text = "ICTS should collect SM integrated inf ormation"
SoS_SM Req 3
Text = "TIS should collect SM integrated inf ormation"
transmit SM
integrated info
Surrounding Mobility
transmit TIS integrated info
SoS_EVD Req 1
Text = "EVD should interrupt ADS control properly w hen
ADS override request"
要求
Text = "SM should Academic Version for
Teaching Only
detect Ego Vehicle
«requirement»
«SoS Req»
Commercial Development
is strictly Prohibiteddriving state"
SoS_T IS Req 4
モデル検査とFDIR
に基づいた安全性
要求の明確化
«requirement»
«SoS Req»
SoS_ICT s Req 1
Text = "ICTs should collect ego vehicle driving state
inf ormation"
«requirement»
«SoS Req»
SoS_T IS Req 3
Text = "TIS should collect EV driving state inf ormation"
transmit ICTS integrated traffic info
integrated
traffic info
«block»
«CS»
«block»
«Entity»
RoadWork
«requirement»
«SoS Req»
SoS_SM Req 2
Text = "SM should detect surrounding
traf f ic environment"
«requirement»
«SoS Req»
transmit EV driving info
transmit ICTs
integrated traffic info
«block»
«CS»
Information&Communication
transmit TIS
Traffic SignalVersion
System
Academic
for
Teaching
OnlySystem
Technology
integrated info
transmit SM integrated info
Commercial Development is transmit
strictly
Prohibited
ICTS
1..*
«block»
«Entity»
Highway Road
Academic
Version for Teaching Only
detect traffic environment
Commercial Development is strictly Prohibited
TSS 0..*
«block»
«CS»
Intelligent Transport Systems
«requirement»
«SoS Req»
SoS_T IS Req 2
Text = "Ego Vehicle Driver (EVD) should monitor ADS and identif y traf f ic situation"
«requirement»
«SoS Req»
SoS_SM Req 1
Text = "SM should collect ICTs integrated traf f ic
inf omation"
Text = "TIS should provide traf f ic sign/signal"
Ego Vehicle
«requirement»
«SoS Req»
SoS_EVD T op Req
Text = "ICTs should manage traf f ic f ollow "
«requirement»
«SoS Req»
SoS_T IS Req 1
«block»
«CS»
«block»
«CS»
«requirement»
«SoS Req»
SoS_ICT s T op Req
Text = "SM shoud control"
Text = "TIS shoude provide road"
excute
ADS control
override EV
SoS_SM T op Req
«requirement»
«SoS Req»
«CS»
detect EV driving state
Pedestrian
transmit TIS integrated
info
ITS 0..1
«block»
«CS»
Road system
UR
parts
OWRoad : one way road
SRoad : Straight Road
INTS : Intersection [1]
T-j : T-junction
CR : Crosswalk [0..*]
SL : Stop line [1..*]
perceive EV driving state
perceive
traffic
environment
«block» Version for
«block»Teaching Only
«block»
Academic
«CS»
«CS»
«CS»
Ego Vehicle Development
Automated
Transport
Commercial
is strictly Prohibited
Driving System
Infrastructure System
Text = "TIS should manage traf f ic inf rastructure"
Automated
Driving System
command ADS
Academic Version for Teaching Only
«requirement»
Commercial Development
is strictly Prohibited
«SoS Req»
«requirement»
«SoS Req»
SoS_T IS T op Req
Academic Version for Teaching Only
provide ADS support
Commercial
Development
is strictly Prohibited
«block»
Context of Automated Driving System in SoS ]
«block»
«CS»
Ego Vehicle
Driver
«block»
«CS»
Constituent System
stm [State Machine] [
Definition of SoS Requirements ]
«CS»
Surrounding Mobility
parts
1
SMdrowsy
integratedor distracted /
info(t)
restore
driver in normal state
SMD operate
Sm
SM integrated
info(t)
SM driving
state info(p)
SM driving
state info(d)
: Automated
Driving System
gather
traffic info
PHE info(p)
PE info(p)
SM
integrated
info(t)
Academic Version for Teaching Only
Academic Version for Teaching Only
is strictly Prohibited
Commercial Development is strictly Prohibited
PE info(p)
control
Version
cmd for Teaching Only
ICTs integrated
[no
response
in AT] /
Commercial
Development
EV driving
traffic info(t)
Commercial Development is strictly
Prohibited
state(p)
execute minimum
risk maneuverTIS info(p)
[re-attentive/re-awake in AT] /
delegate driving authority
wait at
crosswalk
EV driving state(t)
[No response in AT] /
Minimum
execute minimum risk maneuver
SM driving
state info(p)
Risk State
EV driving
PE info(d)
«moe»
«moe»
probability of ADS failure/functional limit
driving authority deleg ation correctness
state(t)
PHE info(p)
«moe»
automated driving controllability
ユースケースを想定し、SoS
構成システム間の相互作用と
自動運転システムとドライバ
の状態遷移を定義
«moe»
safety driving state level of driver
«moe»
traffic environment information construction accuracy
SoS構成システムに対する要求、振
る舞い、構造を考慮した自動運転
車の安全性を評価するパラメトリッ
ク制約を定義
2014年度ソフトウェア工学分野の先導的研究支援事業
研究目標２：
２．研究成果：安全性要求（１）
FDIR（Fault Detection, Isolation and Recovery）に基づく安全性
要求の明確化


危険、危害、危険状況それぞれに対する安全対策をモデル化し、自動
運転車のSoS構成システムに関する安全性要求を明らかにした。 SafeML
package
Safety for EVD
[
Safety for EVD when EVD is requested to override
«block»
«CS»
自動運転
交通事故
«block»
«CS»
Surrounding Mobility
«deriveHzd»
«requirement»
«Safety SoS Req»
<安全性要求>
«block»
«CS»
Physical Environments
«deriveHzd»
]
Transport
Infrastructure System
«deriveHzd»
ADSはドライバの
状態を回復させる
Safey SoS_ADS_EVD Req 1
<コンテキストの元>
Text = "ADS should bring back normal states of EVD"
«block»
ADS, ドライバ，オーバーライド
«CS»
delegate
Pedestrian
Eg o Vehicle
«block»
driving
を表すシーケンス図
Driver
Academic Version for Teaching«CS»
Only
authority
«reqDefence»
«block»
«CS»
SoSとの通信
異常・故障
ドライバの
行動・状態異常
ADSの
異常・故障
«deriveHzd»
<危険>
Commercial
Development is strictly Prohibited
«Hazard»
«deriveHC»
追突
Collision
不認知
操縦遅れ
判断ミス
V2V通信
異常・故障
TIS通信
異常・故障
散漫・眠気
ADSソフト
ウェア故障
ADSハード
ウェア故障
«block»
«CS»
Eg o Vehicle
7
注意を喚起する
«deriveHC»
«DefenceResult»
＜防御の結果＞
安全な状態
Normal driver states
«Harm»
<危害>
«detect»
Injury to driver or surrounding
«Safety SoS Req»
<安全性要求>
ADSはドライバ
Text = "ADS should detect andの状態を推定
estimate driver state"
できる
Safey SoS_ADS_EVD Req 3
＜防御の結果＞
«DefenceResult»
緊急停止
Emergency stops
mobility drivers or pedestrian
追突による危害
«requirement»
FTA
<危害が引き起こされるコンテキス>
＜防御方法＞
«ActiveDefence»
Driver attention recovery
«deriveHC»
ADSがドライバにオーバーライド
«HarmContext»
«HarmContext»
を要求したものの、居眠りや注意
Override failure due to drowsy/distracted
when EVD is requested to override
散漫のためオーバーライド失敗
«deriveHzd»
ICTｓ通信
異常・故障
Automated
Driving System
<検出>
«ContextDetector»
＜防御方法＞
«ActiveDefence»
«requirement»
«Safety SoS Req»
<安全性要求>
Safey SoS_ADS_EVD Req 2
最小リスク
Driver state
Mimimum
ドライバ
ADSはドライバが安全
Text = "ADS should execute monitoring
risk maneuvers
emergency brake if EVD can not be
反応検知マヌーバーを
な状態に戻らない場合、
«reqDetection»
«reqDefence»
normal state "
活性化させる bought
緊急停止を実行する
2014年度ソフトウェア工学分野の先導的研究支援事業
研究目標２：
２．研究成果：安全性要求（２）
FDIRに基づく安全性要求のSafeMLによる検討

ADS Partial requirements adding safety requirements ]
req [Package] SoS Requirements [
«requirement»
«SoS Req»
«requirement»
«SoS Req»
SoS_ADS Req 3
«requirement»
«SoS Req»
SoS_ADS Top Req
delegate driving authority"
«requirement»
«SoS Req»
«requirement»
«SoS Req»
SoS_ADS Req 8
Text = "ADS should handle emergency situation"
«deriveReqt»
«requirement»
«Safety SoS Req»
SoS_ADS Req 1
«deriveReqt»
«requirement»
«Safety SoS Req»
Safey SoS_ADS_EVD
Req 2
«requirement»
«Safety SoS Req»
Safey SoS_ADS_SM Req 4
Text = "ADS should bring back normal
states of EVD"
«deriveReqt»
«requirement»
«SoS Req»
«requirement»
«Safety SoS Req»
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
Safey SoS_ADS_SM Req 3
Text = "ADS should detect communication error of SM"
Text = "ADS should detect and estimate
driver state"
Text = "ADS should detect communication error of ICTs"
Text = "ADS should identify integrated traffic situation by
communication w ith surrounding
system"
ICTｓ対する
安全性要求
«requirement»
«Safety SoS Req»
«deriveReqt»
Safey SoS_ADS_ICTs Req 1
«deriveReqt»
Text = "ADS should reconstruct traffic environment information by combining sensor
data and communication data from TIS/SM"
«deriveReqt»
«requirement»
«Safety SoS Req»
«requirement»
«Safety SoS Req»
Safey SoS_ADS_SM Req 2
Safey SoS_ADS_ICTs Req 3
Text = "ADS should reconstruct traffic environment information by combining sensor data and communication data from ICTs/TIS"
周辺モビリティとの通信異常
Safey SoS_ADS_EVD
Req 3
«requirement»
«Safety SoS Req»
Safey SoS_ADS_ICTs Req 2
«deriveReqt»
SoS_ADS Req 6
«deriveReqt»
«requirement»
«Safety SoS Req»
Safey SoS_ADS_EVD Req
1
Text = "ADS should execute emergency
brake if EVD can not
be bought normal
state "
Text = "ADS should detect communication failure of SM"
ドライバに対する
安全性要求
«deriveReqt»
«deriveReqt»
Text = "ADS should identify integrated traffic situation"
周辺モビリティ
に対する
安全性要求
Text = "ADS should restore driver in normal state"
«deriveReqt»
Only
Version for Teaching
SoS_ADS Req 2
is strictly Prohibited
Commercial Development
Text = "ADS should Text = "Safety automated driving by Academic
ADS"
ching Only
s strictly Prohibited
Text = "ADS should detect communication failure of ICTs"
ICTｓとの通信異常
ドライバのオーバーライド
package
package
Safety for SM [
Safety for SM communication fail ]
«block»
«CS»
Commercial
Development is strictly Prohibited
surrounding
system
Ego Vehicle
«deriveHzd»
collision
«HarmContext»
«Harm»
Injury to driver or surrounding
mobility drivers or pedestrian
8
«HarmContext»
Idenfication of SM fail due to
communication failure/error with SM
Pedestrian
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
«reqDefence»
«deriveHC»
«reqDetection»
«detect»
«detect»
«ActiveDefence»
Reconstruction of traffic environment
information by combining sensor data and
communication data from ICTs/TIS
«ContextDetector»
«ContextDetector»
«DefenceResult»
Communication
failure monitoring
Communication
error monitoring
Traffic environment
information reconstruction
«reqDetection»
«requirement»
«Safety SoS Req»
«requirement»
«Safety SoS Req»
Safey SoS_ADS_SM Req 4
Safey SoS_ADS_SM Req 3
Text = "ADS should detect communication failure of SM"
Reconstruction of SM information
by only sensor data
Text = "ADS should detect communication error of SM"
collision
«deriveHC»
«HarmContext»
Injury to driver or surrounding
mobility drivers or pedestrian
«requirement»
«Safety SoS Req»
«requirement»
«Safety SoS Req»
Safey SoS_ADS_SM Req 2
Safey SoS_ADS_ICTs Req 3
Academic Version for Teaching Only
Commercial Development is strictly Prohibited
Text = "ADS should reconstruct traffic environment information by combining sensor data and
communication data from ICTs/TIS"
«reqDefence»
Reconstruction of traffic environment
information by combining sensor data and
communication data from TIS/SM
«deriveHC»
«HarmContext»
]
«requirement»
«Safety SoS Req»
Text = "ADS should detect communication failure of ICTs"
«detect»
«detect»
«ContextDetector»
«ContextDetector»
Communication
failure monitoring
Communication
error monitoring
«reqDetection»
«block»
«CS»
Safey SoS_ADS_EVD Req 1
Text = "ADS should bring back normal states of EVD"
Transport
Infrastructure System
Academic
Version for Teaching Only
«deriveHzd»
Commercial Development «block»
is strictly Prohibited
«deriveHzd»
«deriveHzd»
«block»
«CS»
«CS»
«block»
«CS»
«deriveHzd»
Automated
Driving System
«Hazard»
Collision
delegate
driving
authority
Ego Vehicle
Driver
Driver attention recovery
«deriveHC»
«deriveHC»
«deriveHC»
«deriveHzd»
«HarmContext»
«HarmContext»
«block»
«CS»
Override failure due to drowsy/distracted
when EVD is requested to override
«DefenceResult»
Normal driver states
«Harm»
«DefenceResult»
Traffic environment
information reconstruction
Academic
Version for Teaching Only
Safey SoS_ADS_ICTs Req 2
Commercial
Development is strictly Prohibited
«reqDetection»
Text = "ADS should detect communication error of ICTs"
«detect»
Injury to driver or surrounding
mobility drivers or pedestrian
«requirement»
«Safety SoS Req»
«requirement»
«Safety SoS Req»
«reqDefence»
«ActiveDefence»
Ego Vehicle
Idenfication of ICTs fail due to
communication failure/error with ICTs
Pedestrian
«Harm»
«reqDefence»
Physical Environments
«ActiveDefence»
«deriveHzd»
«Hazard»
«block»
«CS»
«block»
«CS»
Surrounding Mobility
Pedestrian
communicate
surrounding
system
Automated
Driving System
«deriveHzd»
«deriveHzd»
«block»
«CS»
Safey SoS_ADS_ICTs Req 1
communication data from TIS/SM"
«deriveHC»
«block»
«CS»
«ActiveDefence»
Safety for EVD when EVD is requested to override
«requirement»
«Safety SoS Req»
Text = "ADS should reconstruct Academic
Version for Teaching
Only
Academic VersionInformation&Communication
for Teaching Only traffic environment information by
«deriveHzd»
Technology
Commercial
Development
is combining
strictly sensor
Prohibited
data and
Commercial
Development
is System
strictly Prohibited
Ego Vehicle
SM information
reconstruction
«deriveHC»
«block»
«CS»
Transport
Infrastructure System
«block»
«CS»
«DefenceResult»
Automated
Driving System
«Hazard»
«deriveHzd»
«block»
«CS»
«deriveHC»
«block»
«CS»
Surrounding Mobility
«deriveHzd»
Safety for EVD [
Safety for ICTs communication fail ]
«block»
«CS»
«block»
«CS»
Safey SoS_ADS_SM Req 1
Text = "ADS should reconstruct SM AcademicSurrounding
VersionMobility
for Teaching Only
Academic Version forinformation
Teaching
by onlyOnly
sensor data"
«deriveHzd»
Commercial
Development is strictly
Prohibited
communicate
«deriveHzd»
«block»
«CS»
Safety for ICTs [
«requirement»
«Safety SoS Req»
«block»
«CS»
Transport
Infrastructure System
ion for Teaching Only
velopment is strictly Prohibited
package
Safey SoS_ADS_EVD Req 3
Text = "ADS should detect and estimate driver state"
«DefenceResult»
Emergency stops
«ContextDetector»
«ActiveDefence»
Driver state
monitoring
Mimimum
risk maneuvers
«reqDetection»
«reqDefence»
«requirement»
«Safety SoS Req»
Safey SoS_ADS_EVD Req 2
Text = "ADS should execute emergency brake if EVD can not be
bought normal state "
研究目標３：
２．研究成果：ドライバモデル
ドライバモデルには、運転行動に加え、ドライバの状態と安全
運転度を含めている。実験結果に基づく分析より


プロトタイプ実験（1年目）および公道走行実験（2年目）
注意の分配
注意許容量
外界
（交通リスク）
認知
ドライバ状態
知識
（安全運転度）
9
操作
判断
安全確認・準備行動
自動車
処理の流れ
影響を及ぼす方向
2014年度ソフトウェア工学分野の先導的研究支援事業
研究目標４：
２．研究成果：SoSアーキテクチャの検証（１）

SysMLで記述されたシステムモデルをCSP（Communicating Sequential
Processes）モデルで記述し、モデル検査を実施
 SoSの各構成システムを並行して動作するプロセスと見なす
 ADSがドライバを不安全な状態から安全な状態に戻す際に、一定時間
応答を待つことを表現するために、Timed-CSPのWait関数を利用
 Wait関数を用いたドライバの安全運転度の考慮
システムモデル &
ドライバモデル
アクティビティ図：各CSの振舞い
状態機械図：状態の遷移条件
ドライバモデル：安全運転度
安全性要求 &
CSPモデル作成時の検討
CSPモデル
モデル検査
検証式（Linear
Temporal Logic式）
安全上、遷移すべきではない
状態の定義
10
2014年度ソフトウェア工学分野の先導的研究支援事業
研究目標４：
２．研究成果：SoSアーキテクチャの検証（２）

CSPモデルの検証結果の例
 [検証内容]：”ADSの機能が限られた状態”かつ”ドライバが不安全な状
態”かつ”MRSではない状態”となることはない。
 [結果]：ドライバがオーバーライドし、マニュアル運転を開始後に、ドライ
バの状態が不安全になるという反例が示された。
この反例より、マニュアル運転中は、ドライバ自身が安全を確保すると
いう責任を負うべきであると考察した。
 [検証内容]：”MRS”であり、かつ、”ドライバが正常な状態”であることは
ない。
 [結果]：ドライバが不安全な状態にあるときは、ADSはドライバの状態を
戻そうとする。その間にドライバが正常に戻っているにも関わらず、ドラ
イバがADSに適切な応答をしないため、MRSに移行するという反例が示
された。
この反例は、ADSがドライバが正常にあると判断できない場合、ADSが
MRSに移行して安全を優先する責任を果たしていることを示している。
11
2014年度ソフトウェア工学分野の先導的研究支援事業
研究目標３：
２．研究成果：ドライバと車両挙動の相互作用の検証

ドライバモデルに基づき、車両挙動とドライバの振る舞いとの相互作用を、
動的シミュレーションを実施して解析した。

解析結果をもとに、ドライバモデルの振る舞い、および車両とドライバとの
インタフェースを改善することができる。
• 自動運転車が交差点を
右折
• 横断歩道にいる歩行者
を検知して停止
12
2014年度ソフトウェア工学分野の先導的研究支援事業
３．成果の活用見込み（１）

自動運転車の普及が検討されているものの、それを取り巻く
環境を含めたシステム（SoS）は、大規模・複雑であり、安全性
に優れたシステム構築を行うためのアプローチは確立されて
いない。次世代自動運転車が安全に利用できるようにするた
めのSoSアーキテクチャを構築することは関連企業に有効な
情報となる。

今後、車車間通信システムや車間距離制御システムなど自
動運転車に必要なシステムを統合する際にも、本アーキテク
チャをもとに安全性やセキュリティに主眼を置きながらシステ
ム統合の方法を議論することができると期待される。各関連
企業は、このアーキテクチャに基づいて、次世代自動運転車
用のソフトウェア開発・設計、周辺情報システムなどの開発・
設計を行うことが可能となる。
13
2014年度ソフトウェア工学分野の先導的研究支援事業
３．成果の活用見込み（２）
政府関係者
社会レイヤー
社会受容性
を高めるための検討
法律関係者
利用レイヤー
利
害
関
係
者
ユーザー
関連企業
（技術）
機能レイヤー
安全性要求の明確化
安全性を実現するため
の具体的な検討
関連企業
（保険）
実装レイヤー
関連企業
（ビジネス）
14
実現に向けた設計
2014年度ソフトウェア工学分野の先導的研究支援事業
４．研究成果の発表、投稿、引用等
1. 記事
①
西村秀和，自動車の安全を考える，小特集：自動車の安全と自動運
転，安全工学会，Vol.54, No.3, pp.153-157, (2015)
2. 学会発表
①
②
③
④
15
木下聡子, ユンソンギル, et al, 自動車の自動運転システムに対する安
全性要求のアシュアランスケースによる分析, 日本機械学会2015年度
年次大会, 2015年 9月
木下聡子, ユンソンギル, et al, Analysis of a Driver and Automated
Driving System Interaction Using a Communicating Sequential Process,
First IEEE International Symposium on Systems Engineering, 2015年9月
ユンソンギル, 北村憲康, et al, Design of an Automated Driving System
to Ensure Delegation of Driving Authority with Ego Vehicle Driver, 9th
Asia-Pacific Conference on Systems Engineering, 2015年10月
木下聡子, ユンソンギル, et al, Driver Functions Definition for System
of Systems for Automated Vehicles, 9th Asia-Pacific Conference on
Systems Engineering, 2015年10月（Best Paper Award受賞）
2014年度ソフトウェア工学分野の先導的研究支援事業
５．まとめ


自動運転車を取り巻くSoSに対して記述したシステムモデ
ルに基づきモデル検査および安全分析を行い、そして実
験データに基づきドライバモデルを明確にすることにより、
SoSアーキテクチャを構築し、各構成システムに対する安
全性要求を明確にした。また、SoSアーキテクチャを設計、
更新するための方法を提案した。
今後は、自動運転車を取り巻くSoSのアーキテクチャに基
づき、自動運転車を実現するための検討を自動運転関
連企業などの利害関係者に広めていく。
16
2014年度ソフトウェア工学分野の先導的研究支援事業

Download Report