2017年11月30日
システムズエンジニアリング事業領域
大西 秀一
組込みシステムの安全とFRAM
15th WOCS
2
Rev 1.00
多くの人が自動運転に対して不安に感じている
According to the investigation in
U.S., 75% people has anxious
for autonomous driving car.
In same investigation, people
think they will purchase the
autonomous driving car if safety
of the autonomous driving car is
自動運転の課題
• 2016年3月にGoogle社が開発していた自動運転車両が交通事故を起こした。
• 事故当時、自動運転カーは前方の交差点を右に曲がるため、赤信号で待機中の
他車両が並んでいる直進車線から右の車線に移動しようとしたところ、前方に
砂袋を発見して一旦停止。
• 信号が青に変わると、自動運転カーはバックで直線車線に戻って砂袋を回避し
ようとしたが、市営バスが後方から直進車線を走行してきて、自動運転カーと
衝突した。
• Google Carが後方のバスの動きの予測を間違えたことが課題とされている。
The “Google car”, an AI-controlled
automated driving car, has caused a traffic
accident.
これまでの安全設計 – 機能安全
• 機能安全規格 (ISO 26262、IEC61508)では明確に自動車制御に人工知能の
活用を禁止している。In standards of functional safety
(ISO26262/IEC61508), the use of AI is prohibit.
人工知能は、以下の特性の達成を困難にする可能性があるとされている
- ソフトウェア安全要求仕様の正確性
- 固有の設計故障がない
- 単純さ及びわかりやすさ
- 挙動の予測可能性
- 検証及び試験可能な設計
我々の挑戦
パフォーマンスが変動する人工知能を使用した
自律的自動運転システムの安全性立証を行う必要がある
FRAMを使用し、人工知能を搭載した
自律的自動運転システムの安全を立証する
中小企業庁 平成29年度 戦略的基盤技術高度化支援事業において研究中
「自律的自動運転の実現を支える人工知能搭載システムの安全性立証技術の研究開発」
「積雪寒冷地域の交通弱者移動支援のための雪道走行を可能とする自動運転技術の開発」
FRAMとの出会い
1. 自動運転の安全をリーズナブルに説明する方法を検討
– 理由:ISO26262では複雑なシステムの安全を説明するには、コスト
が増大する可能性あり
2. レジリエンスエンジニアリングを知り、システムが機能不全
に陥る前に機能回復させる開発手法を知る
3. レジリエンスエンジニアリングを提唱しているProf.
Hollnagelの論文からSafety-IIという概念を知る
4. Safety-IIを説明するためにFRAMという方法論があることを
知る
Safety-I と Safety-II
Safety-I Safety-II
”安全”の定義 ISO/IEC Guide 51:
安全 とは、受け入れ不可能な
リスクから解放されていること。
リスク とは、危害の発生確率
及び、その危害の程度の組み合
わせである。
安全 とは期待された通りに、合
意できる、意図通りにシステム
が機能する状態を指す。
対象システム ・技術システム
・社会技術システム ・社会技術システム
モデリング手法 UMLなど
FRAM
安全分析手法 FMEA / FAT / HAZOP 現在検討中
"安全"を満たす
ための方法 Fault elimination / detection / tolerance Resilience engineering
安全規格 ISO/IEC Guide 51,
ISO 12100,
ISO 26262など
Safety-IとSafety-IIの違い
Safety-I
Safety-II
対象 個別のシステムとパーツ システム全体
分析の結果見つけ
るもの
ハザードとリスク 起こりうる全ての事象
対策 リスクの低減や回避 望ましい行動の選択
実現するもの システムにおいて許容でき
ないリスクが無い状態
望ましい結果
例:顧客満足・
興味深い事実
• Safety-IIを実現するための安全分析手法は現時点では定義さ
れていない(検討中)
• Safety-IIとレジリエンスエンジニアリングは根本的には同じ
考え方
• FRAMはSafety-IIとレジリエンスエンジニアリングを表現し
たもの
• FRAMはシステムのレジリエンスを表現するための方法論で
はあるが、安全分析の方法ではない→安全分析を行うには、
個別の工夫が必要
FRAMの書き方
機能
I
T
C
O
P
R
機能の実行時間など
時間に関わるもの
Time(時間)
機能の実行の仕方・され方に
影響を与えるもの・こと
Control(制御)
機能の結果、作成されるものや
状態、イベント
Output(出力)
Resource(資源)
機能の実行に必要なもの
機能が実行される前に準備しな
Precondition(前提条件)
機能Aが開始されるきっか
けとなる状態やイベント
Input(入力)
機能の開始前にtrueになって
いなければならない条件
FRAMの機能の側面
側面 説明
入力 機能のトリガとなる事象やもの
(問いかけ案)[入力]になったら[機能A]を行う
出力 機能の結果となるイベントや状態
(問いかけ案)[機能A]を終えたら[出力]ができる
[機能A]を終えたら[出力]ができる
前提条件 機能の開始前にtrueになっていなければならない条件
(問いかけ案)[前提条件]が行われていないなら[機能A]は行わない
[前提条件]がないと[入力]が機能しない
資源 機能の実行に必要なもの
(問いかけ案)[機能A]を行うと[資源]はなくなる
[資源がない/正確ではない]と[機能A]が成功しない
制御 機能を監視・調整、または、機能を実行している最中に参照するもの
(問いかけ案)[機能A]がうまくいくためには[制御]がなくてはならない
時間 時間に関連する前提条件や制御および資源
(問いかけ案)[機能A]の実行時間は[時間]の結果決まる
[機能A]の実行時間は[時間]
単純に機能を記述する
カップヌー
ドルのふた
を開けてお
湯を注ぐ
I
T
C
O
P
R
カップヌー
ドルをとっ
てくる
I
T
C
O
P
R
カップヌー
ドルを美味
しく食べる
I
T
C
O
P
R
Safety-I 観点:指定時間を過ぎてしまうとまずくなるのでは?
Safety-II観点:美味しく食べるために時間を計測すべきでは?
時間の観点から検討してみる
時間に関する属性を追加する
カップヌー
ドルのふた
を開けてお
湯を注ぐ
I
T
C
O
P
R
カップヌー
ドルをとっ
てくる
I
T
C
O
P
R
カップヌー
ドルを美味
しく食べる
I
T
C
O
P
R
Safety-I 観点:湯温が低いとまずくなるのでは?
説明を読む
I
T
C
O
P
R
お湯を注ぐときに時間の制約を
追加することで、より成功する
ことを目指す。
続いて、リソース観点で検討
より成功するために努める
カップヌー
ドルのふた
を開けてお
湯を注ぐ
I
T
C
O
P
R
カップヌー
ドルをとっ
てくる
I
T
C
O
P
R
カップヌー
ドルを美味
しく食べる
I
T
C
O
P
R
説明を読む
I
T
C
O
P
R
お湯を沸か
す
I
T
C
O
P
R
成功を得るための最善の機能(行為)を記述する
沸いたお湯というリソースが
お湯を注ぐ行為の実施条件
人工知能搭載システムへ
目的地に向
かって人工
知能が自動
運転する
I
T
C
O
P
R
目的地を選
択する
I
T
C
O
P
R
目的地に着
く
I
T
C
O
P
R
「目的地に着く」、という成功に対して、人工知能搭載システムは
どのような機能(行為)が必要か?どのような条件が必要か?
→ISO26262との関連、開発への応用など検討すべき課題は多い
まとめ
• FRAM、Safety-II、Resilience Engineeringの関係を明らか
にした。
– FRAMはSafety-IIとレジリエンスエンジニアリングを表現したもの
• FRAMが目的を達成するための方法を検討するものであるこ
とを説明した。
• FRAMモデルを記述するだけでは安全分析はできないことを
紹介した。
• FRAMを安全規格準拠開発、開発現場へ適用するには課題が
多いことを説明した。
