SOTIF法とは

意図された機能の安全性（SOTIF: Safety Of The Intended Functionality）は、先進運転支援システム（ADAS: Advanced Driver Assistance System）や自動運転システム（ADS: Automated Driving System）向けに開発された安全アプローチであり、システム障害がない場合のセンサーとアルゴリズムの安全性に対処します。 

ADASや全レベルの自動運転システムの登場に伴い、自動車メーカーやサプライヤーに向けて、意図した機能の機能的不備、あるいは合理的に予見可能な人間による誤用に起因するハザードが原因となる不合理なリスクがないことを保証する方法についての指針を示す目的で、2022年にISO 21448が発行されました。これらの安全規格を組み合わせることで、あらゆる自動車プラットフォームでADSおよびADAS用の包括的なアプローチが提供されます。サイバーセキュリティの問題は、ISO 21434で対応しています。それは、この規格を策定した機関で、車両のライフサイクル全体にわたり、サイバーセキュリティリスクを管理するための単一フレームワークを提供することが最善であるとの結論に達したためです。

ISO 21448に示されているSOTIFの概念は、自動車分野向けに開発されたものですが、どの自動運転／自律性システムにも適用できます。特に航空宇宙、重機、建設、製造自動化などの応用分野では、機能安全に関する既存の戦略と組み合わせて導入することが多くなっています。このように、SOTIFは、新たなテクノロジーや応用分野に対応するよう世界中の標準化団体によって積極的に改良が進められ、変化し続けている手法です。 

ISO 21448が示す指針は、ISO 26262の機能安全に関する指針を補完するために策定されました。機能安全（FuSa）がシステム障害に対応するのに対して、SOTIFは故障がない場合のシステムの安全性に対処します。

以下の表に、これら2つの自動車安全規格の相違点を示します。

このように、FuSaは、エンジニアリングチームが電気／電子（E/E）システムにおけるソフトウェアやハードウェアの故障に関連する安全上の問題を回避するのに役立ちます。また、SOTIFは、自動運転システムや運転支援システムが不正確なデータを受け取った場合、それを誤って解釈した場合、またはオペレーターによって誤用もしくは誤って解釈された場合に発生する自動車の安全上の問題に対処します。 

機器の故障に関する路上走行車両向けの規格が策定されたことで、自動車業界では、自律システムが危険にさらされていない場合や故障していない場合でも発生する可能性のある、他の潜在的な危険に対処するための安全要件の必要性を認識しました。ADASおよび自動運転システムでは、センサーを使用して状況把握を行い、機械学習を通じてセンサーデータを処理して、複雑なアルゴリズムを活用してドライバーに情報を提供したり、操作を支援または引き継ぎます。

エンジニアがリスクを特定して対処するためのプロセスを開発できるように、SOTIFでは3つのタイプの危険事象が定義されています。

機能的不備

機能不十分性とは、対象となるシステムがその運用設計領域（ODD: Operational Design Domain）内で実際に発生した事象を正確に解釈できず、危険事象が発生する状況です。システムの機能的不備には、システムの仕様の抜けや漏れも含まれます。たとえば、自動運転車側で想定した状態よりも、追い越そうとするオートバイが速く接近し、特定が遅れたことで、衝突が発生した状況です。

性能の限界

性能の限界は、センサーまたはアルゴリズムの欠陥によりシステムが安全でない挙動を示した場合に発生します。センサー、アルゴリズム、またはコンポーネントによって1つまたは複数の固有の限界が生じた場合、危険な挙動につながる可能性があります。代表的な例は、大雨や霧が原因でカメラのセンサーが物体を検出できなかったために緊急ブレーキシステムが作動しなかった状況です。

予見可能な誤用

予見可能な誤用とは、意図しない方法でユーザーが関与した場合です。たとえば、自動運転モードで運転中にユーザーが突然ハンドルを切る、あるいは運転に集中せずに、衝突に関する警告メッセージを見落としたり、聞き逃したりするような状況です。 

安全担当チームは、安全上の懸念事項を特定できたら、車両が路上で遭遇する可能性のある状況が反映されたシナリオを作成します。ISO 21448規格では、状況の安全性および知識レベルを表す4つのシナリオ領域が定義されています。安全レベルは「安全」または「危険」のどちらかであり、状況に関する知識は「既知」または「未知」のどちらかです。

SOTIFは、未知の状況や危険な状況の数を減らすことに重点を置いており、潜在的に危険なシナリオを発見し、特に未知のシナリオを既知のシナリオに変換することを最優先事項としています。加えて、危険なシナリオの安全なシナリオへの変換も行われます。これは、システムのパフォーマンスを向上させるか、ODDの制限を用いて、このようなシナリオにさらされることを回避することで達成されます。以下に示すカテゴリに基づいてこれらのラベルを四分円チャートに配置することで、どのシナリオが危険であるかを判断し、優先順位の設定方法を決定できます。 

SOTIFが適用されるユースケースが増加するにつれて、企業は、製品ライフサイクル全体にわたり、進化し続ける規格を安全体制に組み込もうと取り組みを続けています。SOTIFは新しいアプローチですが、統合を加速させ、SOTIFの実装効率を高めて、最終的には自動化と自動運転のために、センサーとAIを活用する運転支援システム、自動運転機能、その他の機械を導入して車両の安全性を向上させるためのベストプラクティスがいくつか確立されています。以下に、これらのベストプラクティスを示します。

• 専門家と協力する: 新しい分野であるため、組織内外の専門家の協力を仰ぐことで、実装を迅速化し、精度を向上させ、成果を高めることができます。
• フィールドデータを活用する: ADASおよび自動運転に導入されるセンサーと、センサーデータを使用するアルゴリズムでは、機能面での欠落、性能面での不備、誤用を特定するために不可欠となる大量の情報が生成されます。
• モデルベースシステムズエンジニアリング（MBSE）アプローチを使用して、SOTIFプロセスをFuSaおよびサイバーセキュリティ手法と統合する: FuSa、SOTIF、サイバーセキュリティは、ハザードの異なる側面や原因に対応するものの、多くの場合、対象となるハザード自体は同じです。また、フォールトツリー、原因ツリー、攻撃ツリーなど、同様のデータおよび安全リスク評価ツールは、3つの領域すべてに適用されます。そのため、可能な限り、情報と手順を再利用します。再利用ができない場合は、他の安全タスクと並行してSOTIF調査を実施します。モデルベースアプローチとの緊密な統合により、安全分析が高速化され、実際のシステム設定が分析のために考慮されるようになり、FuSa/SOTIF/サイバーセキュリティ分析の結果が開発に戻され、完全なトレーサビリティが保証されます。
• 分析手法と妥当性確認を組み合わせる: 安全担当チームは、ハザード分析、HAZOP（Hazard And Operability Study）、原因ツリー解析、機能不十分性およびトリガー条件の分析といった分析プロセスを使用して、潜在的な問題を特定する必要があります。この情報は、その後の路上テスト、センサーベンチテスト、Hardware-in-the-Loop、センサーシミュレーション、シナリオシミュレーションなどの妥当性確認アプローチで活用されます。
• SOTIF用の検証および妥当性確認手法を導入する: SOTIFでは、新機能や膨大な数の潜在的なシナリオやトリガー条件により、新しい検証アプローチが必要になることがよくあります。安全担当チームは、検証および妥当性確認（V&V）チェーン全体を評価し、必要に応じて各ステップを修正して、SOTIFに必要な情報を組み込む必要があります。
• 仮想システムのトレーニングとテストを実装する: ODDをカバーするためのテストシナリオのバリエーションは膨大であり、一連の既存テストケースを補完するためのデータも年々増えています。しかし、実際の路上で実車を使用したテスト走行において、これを検証することは不可能であると考えられています。代わりに、シミュレーション活用への大きなシフトが進んでいます。具体的には、閉ループ（現実的なシナリオでの車両全体の挙動と他の交通参加者との反応を検証）と開ループ（物理的に正確なセンサーモデルに基づき、車両の認識能力や特定の刺激に対する反応を評価）の両方です。シミュレーションによる仮想テストでは、設計サイクルの早い段階でアルゴリズムとセンサー設定の評価と最適化を行い、アジャイルサイクルでシステムを反復的に改善することもできます。
• 反復プロセスとしてSOTIFを適用する: この規格では、インタラクション後に残るリスクを「残存リスク」と呼んでいます。残存するこれらのハザードは、不合理なリスクをもたらさない問題が残るまで、再度対処する必要があります。
• SOTIFを安全体制の不可欠な要素にする: SOTIFを導入することで、ハザードがどのように発生し、どのように防止できるかに関して、異なる視点がもたらされます。車両ライフサイクルに関わるすべての人が、規格について理解している必要があります。 

SOTIFとその関連規格であるISO 21448は、既存の業界規格や社内規格、さらには機能安全およびサイバーセキュリティに関する既存の規格を補完するために開発されました。品質および安全担当チームは、事象を予測することに懸命に取り組んでいますが、車両が運用開始される前に、SOTIFでカバーされる潜在的な問題をすべて特定することはできません。そうした状況では、シミュレーションツールを導入することで、SOTIFの対象となるシステムの評価を行い、プロセス全体を通じてセンサーとアルゴリズムに関する実用的なデータを得られるようになります。

SOTIFプロセスの効率、スピード、精度を最大化したいと考えている企業は、以下のタイプのシミュレーション製品や分析ツールの導入を検討するといいでしょう。

安全プロセス計画とセーフティケース管理

ソフトウェアは、まずAnsys Digital Safety Managerなどの安全管理ツールから導入するのがよいでしょう。これにより、ガイド付きの安全計画、セーフティケース管理、安全計画の実行およびレビュー、シミュレーション、SOTIF分析、KPI監視およびレポート作成が可能になります。 

モデルベースのシステム安全分析ツール

安全計画を作成した後、エンジニアは適切なモデルベースシステムズエンジニアリング（MBSE）プラットフォームでシステム設計の安全分析を実行できます。多くのエンジニアは、エンドツーエンドのトレーサビリティが提供され、複数のISO規格をサポートし、Ansys System Architecture Modeler（SAM）などの要件管理およびシステム設計ツールと緊密に統合できる、システム指向の安全分析ソフトウェアであるAnsys medini analyzeなどのツールを導入しています。Ansys medini analyzeは、優れたシステムレベルのプラットフォームであり、システムアーキテクチャモデルを作成してインポートすると、以下のようなさまざまなタイプの安全分析を実行できます。

• ハザード分析
• HAZOP
• フォールトツリー／原因ツリー／攻撃ツリー解析
• 信頼性ブロックダイアグラム
• 故障モード影響解析（FMEA）モデル、故障モード影響および致命度解析（FMECA）モデル、故障モード影響および診断解析（FMEDA）モデル、故障モード影響調査（FMES）モデル
• 弱点および機能不十分性の分析
• トリガー条件分析

完了後に、これらの分析／解析の出力を主要な要件管理ツールにエクスポートできます。

シナリオおよびセンサーシミュレーションプラットフォーム

SOTIFを導入する際の重要な課題の1つは、ハザードを発見するために十分なデータを収集することです。自動運転車向けに設計されたデジタルミッションシミュレーションプラットフォームは、稼働環境で発生する前にハザードを特定する上で不可欠となります。自動運転車センサーシミュレーションソフトウェアであるAnsys AVxcelerate Sensorsなどのツールを使用してセンサーの機能をモデル化することで、実際の運転から記録されたデータに頼ることなく、センサーの認識に関するテストと妥当性確認を行うことができます。その後で、Ansys AVxcelerate Autonomyなどの包括的なMBSE主導型のシミュレーションプラットフォームを使用して、ADASおよび自動運転システム向けの仮想環境でのテストを設計すると、基本シナリオごとに多数のパラメータバリアントを指定して、大規模なシナリオシミュレーションの形で仮想テストを実行できるようになります。そのデータを使用して、SOTIFの残存リスクを定量化できます。 

車両に搭載される電気／電子コンポーネントが増加したことに伴い、機能安全（それらのシステムの故障や誤動作に起因するハザード）に関するISO 26262規格が2011年に公開されました。しかし、ADASや全レベルの自動運転システムが登場すると、この規格だけでは、そうしたシステムの安全に関するあらゆる側面に対処することができなくなりました。そのため、自動車メーカーやサプライヤーに向けて、意図した機能の機能的不備や、合理的に予見可能なユーザーによる誤用に起因するハザードが原因となる不合理なリスクがないことを保証する方法についての指針を示す目的で、2022年にISO 21448が発行されました。このISO 21448は、センサーを介して収集し、ドライバーを支援または車両を制御するためのアルゴリズムで使用される状況把握情報を提供する車載電気／電子システムの設計、検証、妥当性確認、および運用について、自動車業界のOEMとそのサプライヤーに指針を示すための規格です。 

関連リソース