ISO 26262、SOTIF、及び 自動運転システムの シミュレーション
2020-05-11
現実世界の運転におけるシナリオとエッジケースが急増したことにより、自動運転システム開発の現場では、現実世界におけるテストだけでなく、仮想世界におけるテストを活用することが重要になっています。その一方で、自動車産業は自動運転システム開発のためにどのようにシミュレーションを活用するべきか、そしてシミュレーション標準が既存の安全性重視のフレームワークとどのように相互作用するかについて、共通の方法論を共有する必要があります。この投稿では、シミュレーションが安全上重要なシステムを構築するためのフレームワークにどのように適合するか、シミュレーションに関する最近の標準化の取り組み、およびユースケースをサポートするシミュレーションツールの要件について説明します。
自動運転システムの安全開発に関してよく知られている国際規格には SOTIF と ISO 26262 があります。ISO 26262 は機能安全、つまり「既知のコンポーネントの故障に起因する事故等のリスクを低減すること」に関する規格ですが、SOTIF (the Safety of the Intended Functionality)は、「予期しないシナリオが発生したときの安全性を確保すること」に重視した規格です。安全な自動運転システムを開発するには、これら両方の規格を慎重に検討する必要があります。ISO 26262 は安全システムの開発に伝統的に使用されており、システム障害による不当なリスクを防止することを目的とした機能安全要件を規定しています。 V 字モデルの開発プロセス(図 1)は、製品開発サイクルの参照モデルであり、ISO 26262 は V 字モデルの各レベルでシミュレーションを使用することを推奨しています。要件の評価、フォールトインジェクション、および性能試験は、単体テストおよび結合テストの両方の中で実行する必要があります。一方、システムテストでは、ハードウェアインザループ(HIL)シミュレーションを実行して、ソフトウェアがターゲットハードウェアで正しく動作することを確認します。これら全てにおいて、シミュレーションは危険な状況を広くカバーし、ランダム化されたテストを利用して未知のリスクを評価する必要があります。
自動運転で発生する可能性のある様々な危険なエッジケースにより、SOTIF に基づく比較的新しい標準が登場し、明らかなシステム障害がない場合でも、予期しないシナリオでシステムの安全な動作を確保することを目指します。 SOTIF 分析では、危険な状況、問題の根本原因、およびそれらが自動運転システムの全体的な弱点とどのように関連するかを特定するためにシミュレーションの活用を推奨します(図2)。これらの多くはコーナーケースから発生するため、現実世界の運転の複雑さを考えると、膨大な数のシナリオをテストする必要があります。したがって、シミュレーションプラットフォームは、何百万ものシナリオの作成とテストを迅速にサポートする必要があります。
より多くの自動車会社がサードパーティの専用シミュレーションツールを活用するにつれ、自動運転システムの開発プロセス全体で使用されるさまざまなツールとシミュレーションツール間の相互運用性を確保するための標準の必要性が増しています。 ASAM OpenX 標準は、道路ネットワーク(地図)の記述用のファイル形式を定義する OpenDRIVE と、シミュレーション(運転操作)の動的コンテンツの記述用のファイル形式を定義する OpenSCENARIO で構成されています。これらの標準は、開発者に次のような多くの利点をもたらします。
上記の標準に基づいたテストをサポートするには、自動運転システム開発に適したシミュレーションプラットフォームを開発する必要があります。主な要件のいくつかは次のとおりです。
弊社では、上記の主要な要件をサポートし、業界標準に準拠するシミュレーションプラットフォームの開発に取り組んでいます。 ASAM のメンバー一員として、シミュレーション標準に関連する取り組みにも関与しています。シミュレーションは引き続き自動運転システムの安全性を測定する重要な側面であり、弊社ではこの課題に関して業界と緊密に連携していきます。
.webp)
.webp)
