情報処理技術者試験解説チャンネル

応用情報技術者試験をはじめとする情報処理技術者試験の午後問題では、「過去10年分を確実に理解しているか」が合格ラインを左右するといわれています。当チャンネルでは、その10年分の午後問題を要点だけに絞り、約10分のコンパクトな解説としてまとめました。限られた時間でも効率よく学習を進められる構成です。

トップ > 【ISO 21448:2022】SOTIF(意図された機能の安全性)入門:機能不全、リスク、自動運転レベルの基礎
最終更新日

【ISO 21448:2022】SOTIF(意図された機能の安全性)入門:機能不全、リスク、自動運転レベルの基礎

解答解説

SOTIF(ソティフ)って何?~未来のクルマを支える「もう一つの安全」入門~

www.youtube.com

はじめに:完璧なのに、なぜ危険?

もし、自動運転車に搭載されたカメラやセンサーが「仕様通り」に完璧に動いているにもかかわらず、予期せぬ事故を引き起こすとしたらどうでしょうか?例えば、激しい雨で前方が見えなくなり、システムが歩行者を認識できずに衝突してしまう。これはシステムの「故障」ではありませんが、紛れもなく危険な状況です。これは、システムの能力の限界、つまり「性能不全」によって引き起こされる危険であり、本稿で解説する重要な概念です。

このような「故障ではないけれど安全ではない」という問題に対応するために生まれたのが、**SOTIF(Safety Of The Intended Functionality)**という新しい安全の考え方です。

この資料は、自動車の安全技術に初めて触れる方を対象に、未来のクルマに不可欠なSOTIFの基本的な概念を、分かりやすく解説することを目指します。

--------------------------------------------------------------------------------

1. SOTIFの誕生:なぜ新しい安全基準が必要になったのか?

自動車の自動運転技術が進化し、システムが運転に関わる場面が増えるにつれて、従来の安全基準だけでは不十分になってきました。これまでの安全は、主に電子システムの「故障」を防ぐことに焦点を当てていましたが、それだけではカバーしきれない新しいリスクが生まれたのです。

自動車の安全規格は、技術の進化とともに次のように発展してきました。

  • ISO 26262(機能安全)
    • 発表年: 2011年(初版)、2018年(第2版)
    • 主な役割: 電子システムの故障に起因するリスクを管理する。
  • ISO/PAS 21448
    • 発表年: 2019年
    • 主な役割: SOTIFの前身となった規格。
  • ISO 21434(サイバーセキュリティ)
    • 発表年: 2021年
    • 主な役割: サイバー攻撃など外部からの脅威に対する安全を確保する。
  • ISO 21448 (SOTIF)
    • 発表年: 2022年(最新版)
    • 主な役割: システムの故障以外の要因(性能の限界など)によるリスクを管理する。

これらの規格はそれぞれ異なる領域を扱っていますが、興味深いことに、リスクを分析し対策を講じるための手法は非常に似通っています。一つの規格を理解することが、他の規格を学ぶ上での強固な土台となるのです。技術の進化が新たなリスクを生み出し、それに合わせて安全規格も発展してきました。それでは、この新しい安全規格「SOTIF」が具体的に何を指すのか、その定義を詳しく見ていきましょう。

--------------------------------------------------------------------------------

2. SOTIFの正体:その定義を分解してみよう

SOTIFは、国際規格ISO 21448の中で次のように定義されています。

意図した機能の機能不全(functional insufficiencies)またはその実装に起因するハザードによる不合理なリスクがないこと

この定義は少し専門的で難しく感じるかもしれません。しかし、重要なキーワードを一つずつ分解すれば、その意味が明確になります。ここでは、以下の3つのキーワードに注目してみましょう。

  1. 機能不全 (Functional Insufficiency)
  2. ハザード (Hazard)
  3. リスク (Risk)

2-1. キーワード①:「機能不全 (Functional Insufficiency)」とは?

「機能不全」と聞くと「故障」をイメージするかもしれませんが、SOTIFにおける機能不全は意味が異なります。これは、システム自体は壊れていないものの、その性能や仕様が特定の状況に対して不十分である状態を指します。

機能不全は、大きく分けて2つのタイプがあります。

  • 仕様の不十分さ (Insufficiency of Specification)
    • 説明: システムを設計する段階で、仕様が不完全である可能性(possibly incomplete)があり、特定の状況が考慮されていなかったためにうまく対応できない状態。
    • 具体例: ある特定の道路標識のデータがシステムに登録されていなかったとします。その結果、システムはその標識を認識・処理できず、危険な振る舞いを引き起こす可能性があります。
  • 性能の不十分さ (Performance Insufficiency)
    • 説明: システムが持つ技術的な能力そのものに限界がある(limitation of the technical capability)状態。
    • 具体例: 搭載されているカメラセンサーの解像度が低く、遠くの小さな障害物を認識できないケースや、マイクロプロセッサの処理速度が追いつかず、瞬時の判断が遅れるケースなどがこれにあたります。

2-2. キーワード②:「ハザード (Hazard)」とは?

SOTIFにおける「ハザード」は、次のように定義されています。

車両レベルでの危険な振る舞いによって引き起こされる、物理的な傷害または健康被害潜在的な源

簡単に言えば、「危険の元」となる事象そのものを指します。例えば、「システムが歩行者を認識できずに直進を続ける」という振る舞いがハザードにあたります。

2-3. キーワード③:「リスク (Risk)」とは?

ハザード(危険の元)が存在するだけでは、必ずしも大きな問題になるとは限りません。「リスク」という概念を理解するには、次の2つの要素を考える必要があります。

  1. 危害のひどさ (Severity): もしその事象が起きたら、どれくらい深刻な被害が出るか。
  2. 発生確率 (Probability): その事象がどれくらいの頻度で起こりうるか。

特に「発生確率」は、さらに「曝露の頻度 (Exposure)」と「制御可能性 (Controllability)」に分けて考えられます。「曝露の頻度」は危険な状況にどれだけ頻繁に遭遇するか、「制御可能性」は危険が発生した際にドライバーが回避できるかを示します。

例えば、2つのシナリオを比較してみましょう。

シナリオ

危害のひどさ(Severity)

発生確率(Probability)

総合的なリスク

路面電車との衝突

非常に高い

非常に低い

低い

傘なしで雨の中を歩く

非常に低い

非常に高い

低い

路面電車との衝突は、万が一起きれば被害は甚大です。しかし、そもそも線路の上を走行する機会(曝露の頻度)が極めて低いため、発生確率は非常に低くなります。結果として、総合的なリスクは低いと評価されます。

リスクが許容できないほど高くなるのは、危害のひどさと発生確率の両方が高い場合です。SOTIFの目的は、機能不全によって引き起こされるこのようなリスクを、社会的に許容できるレベルまで低減することにあります。

SOTIFの構成要素を理解したところで、次によく似た概念である「機能安全(ISO 26262)」との違いを明確にすることで、SOTIFの役割をさらに深く理解していきましょう。

--------------------------------------------------------------------------------

3. SOTIFと機能安全(ISO 26262)の違い

SOTIF(ISO 21448)と機能安全(ISO 26262)は、どちらも「不合理なリスクがないこと」を目指す点で非常によく似ています。しかし、両者の間には決定的な違いがあります。それは「ハザード(危険)の原因」の捉え方です。

以下の表で、両者の違いを比べてみましょう。

規格

ハザード(危険)の原因

分かりやすい例え

ISO 26262 (機能安全)

電子システムの故障 (malfunctioning behavior)

ブレーキセンサーが物理的に壊れて、ブレーキが効かなくなる。

ISO 21448 (SOTIF)

機能不全 (functional insufficiencies)

・カメラセンサーは壊れていないが、激しい雨で前方が見えず歩行者を認識できない。<br>・システムの操作画面(HMI)の設計が悪く、ドライバーが意図しない操作をしてしまう。

この比較から分かるように、「機能安全」がシステムの故障という内部的な要因を扱うのに対し、「SOTIF」はシステムの性能の限界仕様の漏れ、さらには人間と機械の相互作用(HMI)の問題といった、故障とは異なる問題に対応するための安全規格なのです。

これらは概念的に区別されますが、実際の開発現場では、機能安全とSOTIFの安全活動は同じプロセスの中で統合的に扱われることが多くあります。両者は対立するものではなく、互いに補完し合って自動車全体の安全性を高める、車の両輪のような関係と言えるでしょう。SOTIFの独自性がわかったところで、最後に、自動運転の進化とSOTIFがどのように関連しているかを見て、その重要性を再確認しましょう。

--------------------------------------------------------------------------------

4. 自動運転レベルとSOTIFの重要性

自動運転の技術レベルが上がるにつれて、運転における責任は人間からシステムへと移っていきます。この責任の所在を理解するために、いくつかの専門用語を先に定義しておきましょう。

  • DDT (Dynamic Driving Task / 動的運転タスク): 運転の基本操作(ハンドル、アクセル、ブレーキ)や、周囲の状況を監視して対応すること。
  • ODD (Operational Design Domain / 運行設計領域): 自動運転システムが安全に機能するように設計された特定の条件(例:高速道路のみ、晴天時のみなど)。
  • DDTフォールバック (DDT fallback): システムの故障や機能の限界、ODDからの逸脱など、システムがDDTを遂行できなくなった際に、安全な状態に移行する対応のこと。

これらの用語を踏まえて、自動運転レベルごとの「DDTフォールバック」の責任者を見てみましょう。

  • レベル0 (運転自動化なし):
    • 運転の全ての責任はドライバーにあります。
  • レベル4 (高度運転自動化):
    • DDTフォールバックの責任はシステムにあります(ただし、ODDと呼ばれる特定の条件下のみ)。
  • レベル5 (完全運転自動化):
    • DDTフォールバックの責任は完全にシステムにあります(ODDの限定なし)。

レベル4以上では、緊急時の対応責任がシステム側に移ります。これがSOTIFの重要性を飛躍的に高める理由です。人間が運転責任を負うレベルでは、ドライバーは「センサーの性能が少し低い」といったシステムの限界を、自らの運転技術や判断で補うことができました。しかし、システムが責任を負うようになると、その「性能の限界」はもはや誰にも補ってもらえず、直接的に危険へと繋がります。

このように、システムの責任が重くなるほど、単なる「故障」だけでなく、システムの性能限界といった「機能不全」に起因するリスクを管理することが極めて重要になります。だからこそ、SOTIFという新しい安全の考え方が不可欠なのです。

--------------------------------------------------------------------------------

5. まとめ:SOTIFが拓く未来の安全

この資料で学んだSOTIFの重要なポイントを3つにまとめます。

  1. SOTIFは、システムが「故障」していなくても、その性能や仕様の限界によって生じる危険に対応する安全規格であること。
  2. SOTIFは、従来の「機能安全(ISO 26262)」が見落としていたリスクを補完する、もう一つの重要な安全の柱であること。
  3. 自動運転技術が進化し、システムの責任が増すほど、SOTIFの重要性はますます高まること。

SOTIFを理解することは、システムと人間が協調し、より安全で信頼性の高い未来のモビリティ社会を実現するための第一歩と言えるでしょう。

tedd707

コメントを書く