SOTIF とは何ですか? (ISO 21448)

イントロダクション

自動運転と先進運転支援システム（ADAS）の急速な進歩に伴い、車両の安全性確保は従来の機能安全対策の枠を超えています。そこでSOTIF（意図された機能の安全性）とISO 21448が役立ちます。システム障害の防止に重点を置くISO 26262とは異なり、ISO 21448は、性能限界、センサーの誤解釈、そして予期せぬシナリオに起因する危険に対処します。

自動運転機能に関連するリスクを最小限に抑えたいと考えている自動車メーカー、エンジニア、そして安全専門家にとって、ISO 21448への準拠を理解することは不可欠です。この記事では、ISO 21448のガイドライン、ベストプラクティス、そしてISO 26262とISO 21448の主な違いを解説するとともに、準拠達成に役立つ主要なソフトウェアソリューションとツールを紹介します。

SOTIF と ISO 21448 の基礎を詳しく調べて、それが自動車の安全性の将来をどのように形作っているかを見てみましょう。

SOTIF (ISO 21448) とは何ですか?

ISO 21448（意図された機能の安全性 - SOTIF）は、ハードウェアやソフトウェアの故障ではなく、システムの限界に起因するハザードに対処するために設計された国際的な自動車安全規格です。誤動作の防止に重点を置くISO 26262とは異なり、ISO 21448は、予期せぬ運転者の行動、センサーの誤解釈、環境要因など、予測可能なあらゆる動作条件下でシステムが安全に機能することを保証します。

自動運転システムと ADAS が進化するにつれ、従来の安全基準ではもはや十分ではありません。ISO 21448 への準拠は、メーカーが自動運転車開発の重要な側面である認識、意思決定、システム動作における安全上のギャップを特定し、軽減するのに役立ちます。

ISO 21448の主な目的

ISO 21448 規格は、機能制限、外部障害、誤用シナリオによって引き起こされるリスクを評価および軽減するための構造化されたアプローチを提供します。主な目的は次のとおりです。

• 意図した機能の確保 – 予想される状況や予期しない状況すべてにおいて、ADAS と自律システムが安全に動作することを確認します。
• 機能安全ギャップの特定と緩和 – センサーの不正確さ、AI による意思決定エラー、予測できない環境の変化に対処します。
• 検証および妥当性確認プロセスの強化 – 自動化システムの安全性保証を向上させるための堅牢なテスト方法を確立します。
• ISO 26262の補完 – ISO 26262 はハードウェアおよびソフトウェアの欠陥による障害に重点を置いていますが、ISO 21448 は安全対策を拡張して、不完全または不正確なシステム動作を考慮しています。

自動車システム全体にわたる範囲と適用範囲

ISO 21448 は、次のようなセンサー、AI、リアルタイム データ処理に依存するあらゆる自動車システムに適用されます。

• 先進運転支援システム（ADAS） – 自動緊急ブレーキ、車線維持支援、アダプティブクルーズコントロールなどの機能。
• 自律車両 – 現実世界のシナリオで自動運転技術が安全に機能することを保証します。
• 知覚とセンサーシステム – カメラ、LiDAR、レーダー、センサー融合の不正確さに関連するリスクを軽減します。
• AIベースの意思決定アルゴリズム – 自動運転システムで使用される機械学習モデルの検証。

自動車業界が高度な自動化へと進むにつれ、メーカー、OEM、そして安全エンジニアにとって、ISO 21448ガイドラインへの準拠がますます重要になっています。ISO 21448準拠のソリューション、ツール、ソフトウェアを導入することで、自動車の安全性に対する積極的なアプローチが確保され、予期せぬ危険のリスクを軽減できます。

ISO 26262 と ISO 21448: 主な違い

ISO 26262 は、自動車システムの機能安全に関する国際標準規格として確立されており、ハードウェアまたはソフトウェアの障害によって生じるリスクの特定と軽減に重点を置いています。安全目標の定義、危険分析の実行、V モデル開発ライフサイクルの確立により、誤動作が発生した場合でもシステムが安全に対応することを保証します。

対照的に、ISO 21448 (SOTIF) は、システムが意図したとおりに動作していても、センサーの誤解釈、不十分な環境認識、AI の意思決定の制限など、予期しないまたは不確実な状況下で発生する危険に対処します。

ISO 21448 は自動車の安全性において ISO 26262 をどのように補完するのでしょうか?

ISO 26262 は障害発生時のシステム整合性を保証しますが、正しいが不十分なシステム動作から生じる危険はカバーしていません。これは、AI、認識センサー、機械学習によって新しいタイプの安全上の課題が生じる現代の車両に特に当てはまります。

ISO 21448は、このギャップを埋めることでISO 26262を補完し、故障に起因しないハザードに対する追加のリスク軽減戦略を提供します。これらを組み合わせることで、ADASおよび自動運転システムの開発のための包括的な安全保証フレームワークが構築されます。

両方の標準を並行して実装することで、自動車開発者は次のことを実現できます。

• より幅広いシナリオで安全性を強化
• 知覚と意思決定機能の検証の改善
• コンセプトから生産までのライフサイクル全体のリスク評価
• 将来のモビリティシステムに関する規制と業界のコンプライアンス

自動車システムがより自律的かつ複雑になるにつれ、安全で信頼性が高く、法的に防御可能な製品を提供するためには、ISO 21448 と並んで ISO 26262 準拠の統合が不可欠になります。

主要な ISO 21448 ガイドラインとコンプライアンス要件

ISO 21448 (意図された機能の安全性 - SOTIF) 規格は、ハードウェアやソフトウェアの障害ではなく、システムの制限から生じる安全性のリスクを特定、評価、軽減するための構造化されたアプローチを提供します。コンプライアンスを確保するには、組織は次の点に重点を置いた主要な ISO 21448 ガイドラインに準拠する必要があります。

• ハザードの特定とリスク評価 – センサーの不正確さ、AI によるエラー、予測できない環境要因によって引き起こされる潜在的な安全上の問題を評価します。
• シナリオベースのテストと検証 – 予想される状況と予期しない状況の両方でシステムが安全に動作することを保証します。
• システムパフォーマンスの監視 – 製品ライフサイクル全体を通じてリスク軽減対策の有効性を継続的に分析します。
• 人間と機械の相互作用に関する考慮事項 – ドライバーと乗客が ADAS および自律システムとどのように対話するかを検討し、誤用を防止します。

ISO 21448 準拠を達成するための手順

ISO 21448 コンプライアンス要件を満たすには、組織は次の重要な手順に従う必要があります。

1. 機能の境界を定義する – システムが安全に機能することが期待される場所と方法を理解するために、明確な運用設計ドメイン (ODD) を確立します。
2. 危険とリスクの分析（HARA）を実施する – センサーの認識エラーや AI の誤った意思決定など、障害に起因しないリスクを特定します。
3. 安全要件の開発 – 特定されたリスクに対処し、システムの信頼性を高めるための緩和戦略を実装します。
4. 検証と妥当性確認（V&V）を実行する – シナリオベースのシミュレーション、実際のテスト、障害注入テストを使用してパフォーマンスを評価します。
5. 継続的な監視と改善を確実にする – データ分析と導入後のフィードバックを活用して、システムの安全性を徐々に向上させます。

SOTIF導入における共通の課題

ISO 21448 への準拠は自動車の安全性に関する堅牢なフレームワークを提供しますが、組織は次のような重要な課題に直面することがよくあります。

• 安全シナリオの完全性を確保する – 現実世界の状況を包括的にリスト化することは複雑です。
• AIとセンサー融合システムの検証 – AI 駆動型システムでは、エッジケースを処理するために継続的な学習と改良が必要です。
• ISO 26262との統合 – 機能安全 (ISO 26262) と意図された機能 (ISO 21448) の重複を管理します。

ISO 21448 ソフトウェア ソリューション、ツール、ベスト プラクティスを活用することで、組織はコンプライアンスの取り組みを合理化し、ADAS と自律システムの安全性を高めることができます。

ISO 21448 自動車安全に関するベストプラクティス

リスクの特定と危険の評価

ISO 21448 の重要なベスト プラクティスの XNUMX つは、あらゆる状況下で ADAS と自律システムが安全に動作することを保証するため、徹底したリスク特定と危険評価を実施することです。これには次の内容が含まれます。

• SOTIF関連の危険の特定 – ハードウェア/ソフトウェアの障害に焦点を当てた ISO 26262 とは異なり、ISO 21448 の危険は、センサーの制限、AI の誤解、予期しない環境条件から生じます。
• シナリオベースのリスク分析 – システムの制限により安全上の問題が発生する可能性がある、現実世界およびエッジケースの運転シナリオのライブラリを作成します。
• 危害分析とリスク評価（HARA）の適用 – リスクの重大度、露出度、制御可能性に基づいてリスクを評価し、軽減努力の優先順位を決定します。
• 故障モード影響解析 (FMEA) とフォールトツリー解析 (FTA) – 構造化された安全性分析手法を使用して、潜在的な障害チェーンを理解します。

検証および妥当性確認の方法論

ISO 21448 への準拠を達成するには、製造業者は従来のコンポーネント レベルのテストを超える厳格な検証および妥当性確認 (V&V) プロセスを実装する必要があります。V&V に関する主要な ISO 21448 ガイドラインは次のとおりです。

• シミュレーションベースのテスト – 仮想環境を利用して、実際の導入前に何百万ものシナリオで ADAS と自律システムをテストします。
• ハードウェア・イン・ザ・ループ (HIL) およびソフトウェア・イン・ザ・ループ (SIL) テスト – 安全性が重要なソフトウェアがシミュレートされた現実世界の状況で正しく機能することを確認します。
• 現実世界のテストとエッジケースの検証 – センサーの性能、AI の意思決定、ドライバーの相互作用を評価するための路上テストを実施します。
• データ駆動型検証 – AI と機械学習を使用して、車両群からの大規模なデータセットを分析し、安全モデルを継続的に改良します。

SOTIFコンプライアンスの実装戦略

ISO 21448 コンプライアンス要件を満たすことを目指す組織にとって、構造化された実装アプローチを採用することが不可欠です。ベスト プラクティスには次のものが含まれます。

1. 開発ライフサイクルの早い段階でSOTIFを統合する – コンセプトから検証まで ISO 21448 のベストプラクティスを組み込むことで、積極的なリスク管理が保証されます。
2. ISO 21448ソフトウェアとツールを活用する – 専門的な要件管理、シナリオテスト、危険分析ツールを使用すると、コンプライアンスの効率が向上します。
3. ISO 21448とISO 26262を組み合わせる – 二重のアプローチにより、ハードウェア障害とシステムの制限の両方が包括的に解決されます。
4. 継続的な監視と導入後の分析を確立する – 無線アップデート、車両データ分析、AI 駆動型モニタリングを実装することで、導入後の安全性が向上します。
5. SOTIFガイドラインとベストプラクティスについてチームをトレーニングする – エンジニア、安全チーム、AI 開発者が ISO 21448 の原則を理解していることを確認することは、長期的なコンプライアンスにとって重要です。

これらの ISO 21448 ベスト プラクティスを実装することで、自動車会社はシステムの安全性を強化し、SOTIF 関連のリスクを軽減し、ADAS および自動運転機能の信頼性を向上させることができます。

ISO 21448 ソリューション: コンプライアンスのためのツールとソフトウェア

ISO 21448 への準拠を達成するには、組織は危険性評価、検証と妥当性確認 (V&V)、トレーサビリティ、シナリオベースのテストをサポートする特殊なソフトウェア ソリューションを必要とします。

ISO 21448 準拠のための Visure 要件 ALM プラットフォーム

Visure Requirements ALM プラットフォームは、自動車会社が ISO 21448 (SOTIF) および ISO 26262 に効率的に準拠できるようにする強力な要件管理およびトレーサビリティ ソリューションです。主な機能は次のとおりです。

1. エンドツーエンドの要件トレーサビリティ

• SOTIF 要件、安全目標、リスク評価、テスト ケース間の完全なトレーサビリティを確立します。
• ハードウェア、ソフトウェア、安全性検証プロセス全体で双方向のトレーサビリティを確保します。

2. リスク管理と危険分析

• 潜在的な SOTIF 関連のリスクを特定するために、危険分析およびリスク評価 (HARA) を実行します。
• 構造化されたリスク評価のために、故障モード影響解析 (FMEA) とフォールトツリー解析 (FTA) を実装します。
• 適切な軽減戦略を確保するために、危険の特定を安全要件にリンクします。

3. シナリオベースの検証と妥当性確認 (V&V)

• ADAS と自律システムをテストするために、実際の運転シナリオとエッジ ケースを定義します。
• シミュレーションベースのテスト、モデルベースの開発、AI 駆動型の検証プロセスをサポートします。
• ハードウェアインザループ (HIL) およびソフトウェアインザループ (SIL) 検証用の ISO 21448 テスト ツールと統合します。

4. ISO 21448およびISO 26262への準拠

• ISO 21448 (SOTIF) と ISO 26262 (機能安全) の両方に準拠していることを確認します。
• 業界の規制要件を満たすために自動コンプライアンス レポートを生成します。
• 認証プロセスを合理化するためにバージョン管理と監査証跡をサポートします。

5. AIを活用した要件管理

• 要件検証、影響分析、リスク評価を自動化するために AI 主導の支援を活用します。
• 安全性が重要な要件における不一致やギャップを検出することで、人的エラーを削減します。

ISO 21448 準拠に Visure を選ぶ理由

• すべてのSOTIFプロセスにわたるエンドツーエンドのトレーサビリティ
• 組み込みの危険分析ツールによる包括的なリスク評価
• シミュレーション、テスト、ALMエコシステムとのシームレスな統合
• ISO 21448およびISO 26262の自動コンプライアンスレポート
• AIを活用した自動化で要件検証を効率化

Visure Requirements ALM プラットフォームを活用することで、自動車会社は SOTIF コンプライアンスを効果的に管理し、リスク軽減戦略を改善し、安全で信頼性の高い自律システムの開発を加速できます。

SOTIFと自動車の安全性の将来

自動車システムの自律化とインテリジェント化が進むにつれ、ISO 21448（SOTIF）の重要性はますます高まっています。AI駆動車両時代の道路安全を確保するためには、業界はISO 21448のガイドラインと規格への準拠を維持しながら、新興技術に合わせて進化していく必要があります。

SOTIFコンプライアンスにおけるAIと機械学習の役割

AI と機械学習 (ML) は、先進運転支援システム (ADAS) と自律走行車が環境を解釈して対応する方法を変革しています。しかし、これにより安全性の保証と ISO 21448 準拠の面で新たな課題も生じています。

• 動的知覚と意思決定 – AI モデルは、その動作が SOTIF の安全目標と一致していることを確認するために、さまざまな現実世界およびエッジケースのシナリオに対してテストする必要があります。
• 予測不可能な動作とブラックボックスモデル – MLシステムは、未知の環境では予期しない出力を示す可能性があります。ISO 21448のツールと手法は、非決定論的システムの安全性を評価するために採用されています。
• 継続的な学習と導入後の監視 – AI モデルは時間とともに進化するため、メーカーは継続的な SOTIF 準拠を確保するために、堅牢なライフサイクル監視と無線アップデートを実装する必要があります。
• データ駆動型検証 – 大規模なデータ収集と AI ベースの分析により、数百万マイルの走行にわたってリアルタイムのリスク検出と検証が可能になり、ISO 21448 の安全性検証が大幅に強化されます。

ISO 21448 は自動車技術の発展とともにどのように進化しているのか

自動車の技術革新が加速するにつれ、ISO 21448 も関連性と有効性を維持するために進化しています。SOTIF の将来を形作る主要なトレンドには、次のようなものがあります。

• 次世代標準との統合 – ISO 21448 は、機能的安全性、意図された安全性、および運用上の安全性を含む包括的な安全性カバレッジ モデルを提供するために、ISO 26262 および将来の安全性フレームワークとますます統合されています。
• コネクテッドドライビングと協調運転に焦点を当てる – V2X (Vehicle-to-Everything) 通信と群知能により、新たな安全シナリオが生まれます。SOTIF ガイドラインは、共有認識と協調的自律性を考慮して調整されています。
• スケーラブルで自動化されたSOTIF検証 – シナリオ生成、テスト範囲分析、コンプライアンス レポートを自動化するために、AI を活用した SOTIF ツールとソフトウェア ソリューションが開発されています。
• ヒューマンマシンインタラクション（HMI）のさらなる重視 – 自動化が進むにつれて、ドライバーがシステムの動作を理解し、適切に対応できるようにすることが、将来の ISO 21448 改訂における主要な焦点領域になります。

AI、シミュレーション、データ駆動型検証を採用し、Visure Requirements ALM などの ISO 21448 ソフトウェア ソリューションを活用することで、自動車業界は自信を持って安全性とイノベーションの未来を切り拓くことができます。

結論

自動車業界が完全自動運転に向けて加速する中、意図された機能の安全性（SOTIF）を確保することがこれまで以上に重要になっています。ISO 21448は、システム障害ではなく、認識、解釈、環境との相互作用における限界から生じるリスクを特定、評価、軽減するための包括的なフレームワークを提供します。

ISO 21448 と ISO 26262 の主な違いを理解し、実証済みの ISO 21448 のベストプラクティスを適用し、強力な ISO 21448 ツールとソフトウェアを活用することは、完全なコンプライアンスを達成し、より安全でスマートな車両を開発するための重要なステップです。

Visure Requirements ALM プラットフォームなどのソリューションは、エンドツーエンドのトレーサビリティ、AI 駆動の自動化、堅牢な SOTIF コンプライアンス機能を組織に提供します。ADAS システムを構築する場合でも、自動運転プラットフォームを構築する場合でも、Visure は開発ライフサイクルを合理化し、ISO 26262 と ISO 21448 の両方のガイドラインに準拠できるようにします。

今すぐVisure Requirements ALMプラットフォームの14日間無料トライアルを開始してください SOTIF コンプライアンス、要件管理、自動車の安全性に関する最も包括的なソリューションを体験してください。