null

タイトル:自動運転を想定した自動車の安全度水準と電子制御の課題
Title: ASIL and the Issue of E/E Control on Level3,4 Self-Driving Cars
所属・氏名:DNV GL ビジネス・アシュアランス・ジャパン(株) 川原卓也(Takuya Kawahara)
キーワード:自動車向け安全度水準(ASIL), レベル 3,4 自動運転(Level3,4 Self-Driving Cars),フェールオペレーション(Fail
Operational),共通原因故障(Common Cause Failure)
自動車向けの機能安全規格である ISO 26262 が間もなく改定される見通しである。当該規格において、電子
制御のトラブルに関わる安全度水準(ASIL: Automotive Safety Integrity Level)は ASIL A~ASIL D の4段階
で区分される。ASIL は、ブレーキの電子制御のようなアイテムのトラブルに起因する危険事象について、それ
が起こる「シチュエーション(E)
」や、それが生じた際の「危害の程度(S)
」
、および、そのようなハザードに
対して「ドライバーが取り得る危険事象回避の可能性(C)
」の組み合わせを勘案して決定される 1)。 ASIL D が
もっとも厳しい組み合わせに対して宛がわれる安全度水準であり、例えば、アイテムを司る電子制御装置のラン
ダムハードウェア故障について、その残存故障、すなわち重大な事故に直結する故障を 10FIT(延べ 10000 年の
車上時間につき約 1 回)未満に抑制することが目標とされる。また、この目標値は、自動車の安全性と利便性の
バランスを考慮した State of the art と考えられる。
ところで、レベル 3,4 の自動運転 2)では、概して、
「ドライバーが取り得る危険事象回避の可能性」が期待でき
ないため、同じアイテムであっても、より高い ASIL が宛がわれる可能性がある。そのことが、直ちに ASIL D
を超える安全度水準の必要性を意味するわけではないが、自動運転においては、今後開発が加速する道路状況の
認識やインテリジェンスな判断機能のみならず、従来の電子制御についても、より一層の信頼性の確保が必要と
される。現在は、主として前者の課題に関して熾烈な技術競争が繰り広げられているが、自動運転の実用化に際
しては、むしろ後者の方が困難な課題となることも予想される。
現行の自動車では、例えば、ブレーキの電子制御に異常を来した場合、これを電子的な安全メカニズムが瞬時
に検出し、許容される時間内でブレーキをマニュアル制御に切り替えるなど、電子制御の切り離しによって安全
な状態を確保することが可能である。一方、レベル 3,4 の自動運転では、電子制御の異常に際して、ドライバー
への速やかな操作の引き渡しが期待できないため、このような方策で安全の確保を図ることが難しい。そのため、
本来、電子制御が司る機能それ自体にロバスト性を持たせることで、異常時にも安全な運転を継続できるフェー
ルオペレーションの考え方が必要とされる。産業用ロボットは止めれば概して安全であるが、自律した介護用ロ
ボットはそうではないのと同じ理由である。
フェールオペレーションにおける典型的な安全方策は、本来意図する機能自体の冗長化(多重化)である。そ
の際にとりわけ重要と考えられるのは、共通原因故障に対する配慮である。共通原因故障とは、平たくいえば多
重化された制御システムの共倒れである。例えば、制御システムを2重化していても、搭載されたソフトウェア
が同一であれば、
バグ一つで共倒れに至る可能性がある。
アリアン 5 型ロケットの爆発事故がその実例である 3)。
ISO 26262 における基本的な安全の考え方は、電子制御における意図機能の異常を安全メカニズムが検知し、
速やかに車両を安全状態へと導くことである。例外はあるにせよ、意図機能と安全メカニズムはその役割を異に
するため、アーキテクチャ設計における両者の関係は、敢えて意識しなくても、共通原因故障を生じにくいヘテ
ロジニアス(異種冗長)な構成となる。一方、自動運転に備えて意図機能自体を冗長化する場合、意識的に多様
化を図らない限り、左右のヘッドライトと同様、ホモジニアス(同種冗長)な構成になることを免れない。
共通原因故障は、概して、設計ミス等のシステマチック故障に起因する。従って、その基本的な対策はシステ
マチック故障自体を抑制するためのプロセス、即ち、機能安全における安全ライフサイクルの遵守である。また、
仮にシステマチック故障が残存していたとしても、これを冗長系の共倒れにつなげないためには、多様化設計や
分離設計が有効と考えられる。多様化設計には、冗長化された2つのマイコン間で、異なるリアルタイム OS や
コンパイラを採用するといった方策があげられる。さらには、原理的に共通する故障要因を持ちにくい、例えば、
出力回路における「FET +リレー」のような組み合わせが推奨される。分離設計は、どちらかといえばカスケー
ド故障に対する対策であるが、電源や部品の配置、配線の引き回し等における分離である。また、1個のマイコ
ン上でソフトウェアレベルでの冗長設計を行う場合、リアルタイム OS が、物理的・時間的なリソースの分離に
よって冗長化されたソフトウェアの実行を互いのトラブルから保護すること、かつ、冗長化されたソフトウェア
は多様化設計することなどもその一例である。なお、共通原因故障は必ずしも冗長系統が同時に故障することを
意味しないため、故障時刻のタイムラグを利用した早い周期での故障診断は、その対策として有効な場合も多い。
システマチック故障に関しては、ランダムハードウェア故障と異なり、同種冗長による残存故障の抑制が原理
的に困難である。自動運転などで、やむを得ず意図機能の同種冗長を採用する場合、アーキテクチャ設計におけ
る安全上の妥当性を判断する上で共通原因故障に関わる適切な影響評価が必要とされる。しかしながら、自動車
産業では、そのような評価の手法が十分に整備されていないのが実情である。機能安全の基本規格 IEC 61508 4)
では、共通原因故障の影響を評価するためにβファクタ法が用意されている。βファクタ法とは、ランダムハー
ドウェア故障に基づいて推定される2重点故障の確率を、通常、フィールドにおける実測値の方が上回るため、
両者の比較に基づいて共通原因故障の割合(β値)を推定する手法である。しかしながら、原子力産業以外では、
2重点故障に関わるフィールドデータが乏しく、同基本規格では専門家の判断に基づいてβ値が推定される。即
ち、先の段落に記したような対策の実施状況を点数化し、その得点からβ値を推定するやり方である。IEC 61508
の想定とはシステムの構成や運用が異なるため、このやり方をそのまま自動車産業に適用することは適切でない
が、改定するなどして、フェールオペレーションに伴う冗長設計に備えた影響評価の手法の整備が急がれる。
1) ISO 26262 ed1.0 2011, Road vehicles -- Functional safety
2) https://ja.wikipedia.org/wiki/自動運転車
3) http://www.sydrose.com/case100/284/
4)IEC 61508 ed2.0 2010, Functional safety of electrical/electronic/programmable electronic safety-related systems