スマートカーに期待される機能の安全性を確保するためのキーテクノロジー

性能の限界、不十分な仕様、または合理的に予見可能な誤用から生じる、予想される機能安全の問題が際限なく発生し、スマート カーの急速な開発を深刻に妨げています。本レビューでは、スマートカーに期待される機能安全を確保するためのキーテクノロジーに焦点を当て、システム開発、機能改善、運用の3段階を体系的にまとめ、最後に基礎理論、リスク保護、更新メカニズムの3つの側面から展望を示します。 。この記事は、スマートカーに期待される機能安全性に関する研究に重要な参考資料となります。

まえがき

国家運輸安全局 (NHTSA) の統計によると、交通事故の約 94% は人的要因によって引き起こされています。自動車が人間のドライバーを機械に置き換えることは、運転の安全性を向上させる上で非常に重要です。しかし、既存の技術はその安全性を十分に発揮できておらず、また、元々の問題を解決するために新技術を導入すると、機能安全、情報安全、意図した機能の安全など、新たな安全問題も発生します（SOTIF）問題。特に、スマートカーシステムがより複雑かつインテリジェントになり、その動作環境がよりオープンで困難になるにつれて、不十分な機能によって引き起こされるSOTIF問題が徐々に明らかになり、スマートカーの安全性を制限する重要な問題となっています。また、近年発生している自動運転・運転支援による知覚や判断などの機能不足による事故も、SOTIF問題の深刻さを反映している。図1は、2018年に世界初の無人車両の路上試験で歩行者が死亡した事故の原因を分析したものです。事故の主な原因はセンシングと予測機能の不足でした。したがって、SOTIF保証技術の研究を推進することが最優先事項となっています。

図 1 Uber の無人走行試験の原因分析

想定される機能安全とは、意図した機能やその実装が十分に機能していないことによる危険から生じる不当なリスクを回避することを目的としており、その基本的な考え方は ISO 21448 で提案されています。 ISO が 2016 年 2 月にこの規格の開発を開始して以来、PAS、CD、DIS、および FDIS のドラフト版が作成されました。 ISO 26262 の拡張として、ISO 21448 は、ランダムなハードウェア障害やシステム障害を発生させずに、機能が不十分であるという問題に対処します。

SOTIF の研究には、システムの機能設計改善、分析と評価、検証と認証など多くの側面が含まれており、技術開発や新技術の導入に伴い、常に新しい要件が提示されます。したがって、ISO 21448 は関連するすべての側面を詳細にカバーすることはできません。図 2 に示すように、近年、他の多くの国際標準が提案されており、SOTIF は重要な研究対象となっています。

#図 2 SOTIF 関連規格

UL 4600 は、自動化製品の安全性評価に関して、機能安全と SOTIF 規格を補完することを目的としており、完全自動運転の安全性を「どのように評価するか」に焦点を当てた安全目標指向のアプローチを提案しています。 ; 高レベルの自動運転システムの安全設計、検証および妥当性確認のために、ISO/TR 4804 は ISO/PAS 21448 に準拠した SOTIF 機能設計プロセスを決定しており、ISO/AWI TS 5083 はさらに開発される予定です。 ISO 34502は、安全性評価に基づいた一連のシナリオ生成と評価プロセスを提案しており、特に人工知能などの新技術導入後の問題を考慮して、シナリオライブラリを構築するプロセスにおいてSOTIFの典型的なトリガー条件を考慮しています。 AI)、ISO/AWI PAS 8800 は、ISO 21448 における AI 問題の考慮の欠如を補うために、AI 関連のシステム開発および展開の問題のライフサイクル全体に対処する仕様を提供することを目的としています。

SOTIF 標準化プロセスに加え、国内外の政府、企業、研究機関は近年、SOTIF の実用的なソリューションについて多くの探求を行ってきました。製品開発の面では、BMW や Baidu などの多くの企業が、 SOTIF を製品の全ライフサイクルに導入する サイクル安全開発プロセス、製品の安全性分析と評価に関しては、Continental や ANSYS などの企業が安全性分析ツールの導入を試み、EU ENSEMBLE プロジェクトと NHTSA が SOTIF 分析と評価を実施実践と結果レポートの提供；安全性の検証と確認の観点からは、EU PEGASUS の拡張プロジェクトである VVM、SetLevel、日本の SAKURA プロジェクト、および中国インテリジェント コネクテッド ビークル アライアンスの予想される機能安全ワーキング グループが、実際に SOTIF と統合されました。機能改善に関しては、欧州連合 DENSE など、多くの企業が独自の計画を提案しています。このプロジェクトでは、センサーなどのコンポーネントの特定の機能欠陥を研究しています。

上記の標準と実践的な活動は、スマート カー SOTIF 保証のためのフレームワーク ガイダンスを提供します (図 3 を参照)。実際の研究開発プロセスでは、特定の保証技術を効果的に使用して問題を解決する必要があります。各段階で直面する具体的な問題。しかし、この分野はまだ完全な技術研究体制が形成されておらず、一方で、SOTIF を直接主題とした現在の文献は増加傾向にあるものの、その総量は依然として比較的少なく、内容は主に詳細な研究に関わるものである。概念と意味の理解、セキュリティ分析、テスト検証、およびシステム工学などの観点から、主要な SOTIF 保証技術の体系的な研究と整理が不足している一方で、関連する多くの技術において高度な研究結果が得られているものの、これらの分野は、機能不足の問題を解決するための重要なインスピレーションと参考となる重要性を持っていますが、SOTIF 保護技術の研究範囲にはまだ明確に含まれていません。

#図 3 SOTIF 保証の基本的な活動プロセス

そこで、本記事では、国内外の多数の研究報告や文献に基づいて、SOTIF 保証の主要技術を体系的に分析・整理し、それに基づいた展望を提示します。既存の研究の欠点。

SOTIF の概要

明確な問題定義とリスク源分析は、SOTIF を確保するための前提条件です。システム自体の観点から分析すると、SOTIF の問題は主に 2 つの側面から生じています。 (1) 車両レベルで期待される機能の仕様が不十分であり、シーンのオープン性、システムの複雑さ、不完全な専門家の経験などの制限により、車両の動作が低下する可能性があります。設計仕様の段階で問題が発生し、理想的な安全目標の達成が困難な場合 (2) 期待される機能の実現が不十分な場合 車両層の期待される機能の仕様が十分に完成していても、性能限界や性能限界により、期待される機能の実現が不十分な場合システムコンポーネントの仕様が不十分で、認識、意思決定、制御などの機能が実現できない 期待どおりの実装ができない可能性があります。たとえば、センサーやアクチュエーターには、知覚および実行能力の上限などの性能制限があるか、外部環境要因による干渉を受けやすく、知覚および意思決定アルゴリズムには、堅牢性、一般化、解釈可能性、論理的完全性、ルール適用範囲、などの質問です。さらに、SOTIF ハザードの出現と進展は、特定のシナリオによって異なります。まず、シーン内の特定の条件によって上記の不十分な仕様や性能の制限が引き起こされ、有害な動作が引き起こされますが、さらに、現在のシーンには関連するリスク源が含まれており、シーンに問題が発生しているため、上記の有害な動作は最終的に有害に発展します。コントロール性が低い。したがって、SOTIF 保証プロセスでは、システム自体の制限と運用シナリオのリスクを統合して、セキュリティ保証システムを確立する必要があります。

シナリオが既知であるかどうか、およびそれが SOTIF に害を及ぼすかどうかに応じて、既知の安全、既知の安全ではない、未知の安全ではない、未知の安全の 4 種類のシナリオに分類されます。目標 一連のアクティビティと関連テクノロジーを通じて、2 種類の安全でないシナリオの対応する領域を最小限に抑えるために、未知の安全でないシナリオの発見と処理が中核となります。図 4 に示すように、SOTIF 保証目標の実現は、未知のものを既知のものに変換することと、安全でないものを安全なものに変換することの 2 つの側面に分解できます。まず、運用フェーズにおけるSOTIFの分析・評価、検証・確認、主要データの収集・記録・フィードバックなどの活動により、未知のシナリオを徹底的に探索するとともに、開発フェーズでは不足している機能の改善を直接ターゲットとします。安全ではないシナリオを安全なシナリオに変えるためには、データを収集するためのシステム機能の改善が必要な活動であるとともに、検証と確認、残留リスクの評価、安全性の実証も、安全性を確保するための重要な活動です。残留リスクは十分に低いため、SOTIF リリースの根拠となります。以下では、開発段階、運用段階のそれぞれの活動に対応する主要なSOTIF保証技術を整理し、スマートカーシステムの機能向上技術について詳しく議論していきます。

図 4 SOTIF 保証の目標と実装プロセス

開発段階におけるSOTIF保証の主要技術

システム開発段階におけるSOTIF保証活動には、主にSOTIFの分析・評価、検証・確認、機能改善が含まれます。このドキュメントの各セクションでは、各リンクの主要なテクノロジーの紹介に焦点を当てます。

1. SOTIF の分析と評価

効果的なセキュリティ分析テクノロジーを使用すると、SOTIF の危険、潜在的な機能欠陥、およびトリガー条件の効率、包括性、分析を向上させることができます。科学的な。 SOTIFの分析・評価には、フォールトツリー分析、故障モードと影響分析、ハザードと操作性分析などの従来の安全分析手法が適用されてきましたが、スマートカーに代表される新技術が事故の性質に変化をもたらし、 new タイプハザード、単一事故の許容度の低下、システムの複雑さの増加、人間とコンピュータの複雑な相互作用などの新たな安全上の課題には、より効果的な安全分析技術が必要であり、システム理論プロセス分析 (STPA) (図 5 を参照) は分析できる可能性を秘めています。分析の目的の定義、制御構造の構築、危険な制御動作の特定、因果関係のシナリオの特定という 4 つのステップを含む複雑なシステムであり、知覚、意思決定、および完全自動運転システムの SOTIF 分析に使用されています。ただし、単一のテクノロジーの利用可能性は限られており、それぞれの利点を組み合わせて、より効果的な SOTIF 分析テクニックを開発することができます。

##図 5 STPA テクノロジ実装プロセス#さらに、SOTIF 分析に特定のモデリング手法を導入すると、分析効果がさらに向上します。従来のSTPA技術で構築された制御構造は、システムの内部動作ロジックを記述しますが、機能と動作環境との関係をモデル化するものではなく、有限状態マシンを使用して上記の欠点を補い、車両状態間の変換関係をモデル化します。環境条件を考慮すると、より正確に危険を特定できます。因果関係モデルは、危険な動作に対応するトリガー条件、パフォーマンスの制限、または仕様の欠陥の分析を導くのに役立ちます。たとえば、ベイジアン ネットワークは、条件付き信念テーブルと組み合わせて、知覚されたパフォーマンスの制限とシーンのトリガー条件の間の階層的な依存関係を構築するために使用されています。検査や専門家による分析などの技術を使用して、これらの関係を定量的に評価し、新しい誘発条件を明らかにすることができます。さらに、シーン要素、トリガー条件、パフォーマンス制限などの基本要素を初期段階およびプロセス中に整理および更新し、関連するマッピング関係を確立することは、SOTIF 分析の効率と包括性の向上に役立ちます。

#特定された SOTIF の危険性についてリスク評価を実施する必要があります。 STPAなどの技術自体はリスクを定量化する機能を持たないため、それに応じて拡張する必要がある 機能安全分野におけるハザード分析とリスク評価（HARA）や自動車安全度水準（ASIL）は、いくつかの研究で改善されているそしてそれをSOTIFのリスク評価に使用しました。統計的手法としてのベイズ確率モデルも、SOTIF 関連のリスクとその境界を定量化するために使用されています。しかし、シナリオの複雑さと統計上の困難さの増大、トリガー条件のシナリオへの依存性、および AI アルゴリズムの不確実性のため、既存の研究では SOTIF リスク定義とその定量化方法を明確にし統一することができていません。効果的な SOTIF 定量分析指標と手法の新しい方法を探索し、提案することが緊急に必要です。さらに、スマート カー HARA の許容できない複雑さを回避するために、タスク分解、同値クラスと影響分析、モデルの再構築などの手法を組み合わせて、その複雑さを管理できます。

2. SOTIF 機能の改善

機能不足による不当なリスクに対しては、不安全領域を減らすための機能改善を行う必要があります。現段階での機能向上技術は数多くありますが、主に①特定のセンサーやセンシングモデル自体の性能上限を高めるなどの性能向上、②リスク監視・防御などの技術ルートに分けられます。トリガー条件（合理的に予見可能な誤操作を含む）、不十分な機能ステータスなどを制御してSOTIFリスクを監視し、リスク源の排除、機能制限または許可の移譲などの対象を絞った保護技術を導入することもできます。運用設計ドメインを直接監視する（運用設計ドメインなど） ODD の明確化、監視、および制限）は、リスク保護のための参考情報を提供する; ③ 機能冗長性（全体のパフォーマンスを向上させるために冗長機能モジュールを設計するなど）。セクション 3 では、スマートカーの各モジュールおよび車両層に対応する機能向上技術を体系的に整理します。

3. SOTIF の検証と確認

検証と確認は、安全でないシナリオをさらに発見し、SOTIF が完全に保護されていることを証明するための重要なアクティビティです。 SOTIF 検証は、センサー、センシング アルゴリズム、意思決定アルゴリズム、アクチュエーター、統合システムなど、特定の要件への準拠を証明するための客観的な証拠を提供することを目的としています。精度、信頼性、耐干渉性などの検証指標。 SOTIF 検証は、合理的な検証目的と方法を使用して、既知および未知の安全でないシナリオの下で残留リスクが許容できるかどうかを評価することを目的としています。 SOTIF 確認目標は、許容基準を満たすための条件を定量化するために使用され、事故統計やドライバーのパフォーマンスなどに基づいて、リスク許容度、プラスのリスクバランス、合理的に実現可能な最低値、内因性の最低値などのリスク許容原則を分析できます。率など

SOTIF 検証確認では、使用するテクノロジーの有効性、実現可能性、コストを包括的に考慮する必要があります。たとえば、分析と比較に基づく検証、シミュレーション、ループ内のソフトウェアとハ​​ードウェアのコストなどです。ただし、提供される証拠の有効性と適用範囲は限られており、公道テストは環境における車両の最も現実的な性能を反映することができ、経験的知識やモデルの限界を突破するのに役立ちます。まれな未知の安全でないシナリオをマイニングすることは困難ですが、そのような方法を単独で使用することは困難であり、そのコストは容認できません。近年、シナリオベースのテスト (図 6 を参照) が広く研究され、実践されています。一方で、この方法では、シミュレーション、ソフトウェアおよびハードウェアインザループ、テストサイトなどのさまざまなプラットフォームを組み合わせてテストリソースを合理的に割り当てることができ、テストシナリオのカバレッジ評価、重要度のサンプリング、危険性の評価を組み合わせることでテストコストをさらに削減できます。一方、この手法はシナリオを核としており、潜在的なトリガー条件を含むシナリオでの SOTIF 検証に使用でき、実際のシナリオ分布に基づくサンプリングテストや完全な探索を通じて SOTIF の確認を支援することもできます。未知のシナリオ。

図 6 シナリオベースのテスト方法とプロセス

特定のシナリオまたはユースケースの生成は、検証と確認の前提条件です。さまざまな情報源によると、それは主に知識主導型とデータ主導型に分けられます。前者は、専門的な知識や基準、関連する経験などを指します。典型的な方法にはオントロジーが含まれ、通常は自然な運転や事故のデータを抽出に利用します。生成目的に応じて、主にランダムシーン生成とキーシーン生成があり、キーシーンは特定された潜在的なトリガー条件のマッピングと組み合わせから導き出すことも、シーンの危険度などの指標を定義して自動的に生成することもできます。敵対的サンプル生成は、重要なシナリオを生成する効果的な手法です。勾配などの情報を組み合わせて、システム機能の不足を引き起こす可能性が高い安全性が重要なシナリオを自動的に生成し、テストの効率を向上させます。シナリオ生成プロセスでは、現実世界との類似性が考慮されます。これはテストの有効性にとって重要な前提条件であり、許容可能な外乱の発生は上記の目標を達成するための重要な技術です。さらに, パラメータ空間の爆発を克服し, テスト量を減らすためには, 適切な機能分解が非常に重要である. 異なるテスト対象に応じて, 異なる機能モジュールのシナリオを生成する際には, 異なる考慮事項を行う必要がある. たとえば, センサーやセンシングモジュールの場合,雨、雪や霧などの悪天候のシーン、または特定のターゲット検出オブジェクトを含めることを選択できます。意思決定モジュールについては、交通干渉などのシナリオの選択に焦点を当てることができます。コントローラーとアクチュエーターについては、極端な作業を含むシナリオを含めることができます。条件、過酷な道路、環境条件を重要な考慮事項として考慮する必要があります。

生成されたシナリオまたはシナリオ ライブラリから特定のシナリオを選択することは、テストの代表性、カバレッジ、コストを決定するための重要なステップです。パラメータ空間は複雑かつ連続的であるため、最初にサンプリング手法を使用して、経験的な違いを確認できます。情報は、パラメータ範囲に基づくサンプリングとパラメータ分布に基づくサンプリングに分けられます。前者の代表的な技術としては、組み合わせテスト、対話型実験計画法、ランダム化技術などが挙げられ、後者の代表的な技術としては、モンテカルロサンプリングなどが挙げられる。加速テストはテスト コストを向上させる重要な方法であり、代表的な手法には、極値理論、重要度サンプリング、マルコフ連鎖モンテカルロなどがあります。さらに、事故データやシナリオの重要性や複雑性などの特性を考慮した主要シナリオのスクリーニングや、適応ストレステスト、代替モデリングと確率的最適化、適応探索のためのシミュレーションの使用など、改竄に基づくシナリオ選択に焦点を当てた研究もあります。 。

テスト プラットフォームには、仮想シミュレーション、ソフトウェアとハ​​ードウェアインザループ、ビークルインザループ、テスト サイトが含まれます。テストの信頼性は徐々に向上しますが、テスト コストは高くなります。 、安全性リスク、スケーラビリティが徐々に増大するため、リスクを軽減するには、限られたリソースを最大限に活用するために、テスト要件を満たしながら、シミュレーションおよびインザループ テスト技術を優先する必要があります。さらに、シミュレーションおよびインザループテスト技術の適用性は、高忠実度のセンサーモデルを開発することによってさらに向上させることができます (例: 現象論的モデルの使用)。

評価指標は、システムまたはコンポーネントが指定された要件を満たしているかどうか、または残留リスクが十分に低いかどうかを判断するための基礎です。従来のセキュリティ指標には、主観/客観、ミクロ/マクロ、短期的な指標が含まれます。期間/長期などのタイプがあるが、主に車両全体の挙動を評価するために使用され、特定の機能部品には適していない、現状では知覚・予測モデルの評価も基準が異なる、精度評価が中心で安全性への配慮が不十分。したがって、スマートカーの機能評価に適したSOTIF指標を提案する必要がある。

さらに、形式的検証技術は数学的モデリング手法を使用してシステムの正確性と厳密な検証結果を保証するため、スマートカーなどのセーフティクリティカルなシステムにとって非常に重要です。車両挙動検証では、定理証明や到達可能性解析などの技術が注目されており、システム統合では、形式検証を利用して、さまざまなコンポーネント（コントローラなど）の統合の正しさを標準化することができます。さらに、形式的手法は機械学習に代表される AI 分野で広く研究されており、知覚や予測などの関連する機能モジュールの検証にさらに使用できます。ただし、このテクノロジの実装コストは高く、複雑なシステム、オープン シナリオ、ブラック ボックス モデルに対する拡張性は限られているため、さらに調査して改善する必要があります。

要約すると、現在、SOTIF の検証と確認に使用できるさまざまなテクノロジーがあり、さまざまなテクノロジーの利点を組み合わせることによって結果をさらに向上させることができます。しかし、SOTIFの検証と確認は、複雑で変わりやすいシナリオとロングテール効果、複雑で多様なスマートカーシステムと高速な更新反復、さらにSOTIF評価仕様の欠如により、依然として厳しい課題に直面しています。

4. SOTIF リリース

開発フェーズの最後には、システムが SOTIF リリース基準に準拠しているかどうかを実証する必要があります。 Schwalb らは、SOTIF 残留リスクを段階的に定量化するための確率論的フレームワークを提案しました。また、上記の分析・評価、設計改善、検証・確認活動を経て完全な安全性文書を作成し、対象構造表現や拡張された証拠ネットワークなどの技術を活用して安全性実証を行うことも可能です。 , ミスラは、期待される機能を探索するためのステートマシンを提案しました。危害を引き起こす可能性のある条件と、それに対応する安全性ステートメントがアサートされます。これに基づいて、ターゲット構造表現に基づいて SOTIF 議論構造が構築されます。

上記の活動段階に対象を絞った保証技術に加えて、システム開発プロセスの最適化も SOTIF 保証の重要な方向性です。アジャイル システム エンジニアリングは、システム開発の効率、経済性、トレーサビリティを向上させることができます。また、一部の学者は、形式的手法やルールマニュアルなどをSOTIFシステムの開発プロセスに統合することを試みており、開発の加速、トレーサビリティや評価可能性の向上などの最適化効果を当初は達成している。しかし、これらの手法自体にはまだ複雑さ、拡張性、適用性の点で課題があり、また、SOTIFとの組み合わせもまだ模索段階にあり、実際の開発プロセスの指針となる意義は限られています。

#スマート カー機能を向上させるための主要テクノロジー

スマート カー機能の実現は、図 7 に示すように、各サブモジュールに依存します。合理的に予見可能な誤使用などのトリガー条件の影響下では、認識、位置決め、意思決定、制御などの機能が不十分な場合、SOTIF に損害が発生する可能性があり、各モジュールの特性に応じて的を絞った改善を行うことができます。本節では、認知ポジショニング、意思決定制御、合理的に予見可能な誤用処理、ビークル層機能改善の4つの側面からそれぞれまとめます。

#図 7 スマート カーの各レベルにおける SOTIF の問題

1. 知覚（測位を含む）機能の改善

知覚機能の実現は主にセンサーと知覚モデルに依存するため、その限界を主な目的とした機能改善となります。センサーの性能不足と知覚モデルの機能不足を解決する。

a. センサーと知覚モデルのパフォーマンスの向上

センサー最適化テクノロジーにより、検出範囲、精度、耐性を向上させます。干渉性能などの基本性能 例えば、LiDAR は雨、霧、塵などによる干渉を受けやすいという問題に対処するために、複数のエコー技術や表面レーザー技術があります。さらに、知覚モデルの性能向上技術は、使用される知覚アルゴリズムと密接に関連しており、現時点では、スマートカーの知覚機能は一般的に機械学習アルゴリズムを使用しており、その動作原理によれば、知覚モデルの性能向上は可能です。主に以下の側面に分けられます。

(1) トレーニング データの改善。まず、大規模で低コストのデータ収集ソリューションと自動/半自動のアノテーション方法を組み合わせてコストを削減し、トレーニング データの量を増やすことで、トレーニング データの豊富さを向上させることができます。さらに、データ収集テクノロジを改善してデータ品質を向上させることができ、データ クリーニング、フィルタリング、および修正テクノロジを組み合わせて、収集エラーやラベル付けエラーによって引き起こされるトレーニング データの問題を軽減できます。また、学習データの分布を合理的に分散することで学習効果を向上させることができます。

(2) トレーニング モデルの改善。モデル アーキテクチャの設計は知覚のパフォーマンスに直接影響します。たとえば、画像情報処理における畳み込みニューラル ネットワークの自然な利点により、この設計で追加されたネットワークのパフォーマンスは、一般に単純な多層パーセプトロンのパフォーマンスよりも優れています。通信網。知覚モデルの設計の最適化は現在、コンピュータビジョンなどの分野における主な研究方向となっているため、知覚パフォーマンスも急速に向上しています。さらに、モデル設計を最適化することで未知の物体に対する検出効果も向上し、残留リスクを軽減できます。

(3) トレーニングプロセスの改善。不十分なトレーニングデータや潜在的に未知のシナリオの問題に対処するには、データ拡張、転移学習、アクティブラーニングなどのテクノロジーを使用して、限られたデータやラベルの利用効率を向上させることができます。画像の反転やトリミングなどの従来の方法に加えて、雨、雪、霧の気象条件をレンダリングすることも、悪天候における知覚パフォーマンスを向上させる方法です。機能が不十分な可能性があるという問題に対処するために、敵対的トレーニングなどの手法を使用すると、モデルの欠陥を減らし、限られたデータに基づいて堅牢性を向上させることができます。さらに、損失関数または報酬関数を改善し、正規化や正則化などの手法を合理的に使用すると、モデルのパフォーマンスをさらに向上させることができます。

b. 認識された SOTIF リスクのモニタリングと保護

認識された SOTIF リスク源を外部トリガー条件と内部トリガー条件に分割します。リスク監視の参考として機能を活用できます。中でも、雨、雪、霧、ひょうなどの悪天候は、SOTIF の問題を感知するための重要なトリガー条件であり、一部の研究では実験解析を通じてそれらの影響関係を確立し、外部トリガー条件を監視する基礎を提供しています。悪天候の監視には、特定の環境モデルまたは気象センサーを使用できます。たとえば、車両の雨センサーには、容量性、光学式、圧電性、抵抗性、CCD イメージングなどのタイプが含まれます。さらに、統計やディープラーニングと組み合わせて、他の方法を使用して、データを収集します。カメラ自体の出力を直接使用して、厳しい気象条件やそれによって引き起こされる干渉を監視することもできます。さらに、一部の研究では、モデルの変更、トレーニング プロセスの調整、知覚パフォーマンスのオンライン推定を達成するための他の情報の導入などによって、知覚パフォーマンスの低下を直接監視することに焦点を当てています。

環境条件の影響を受けるセンサーデータに対して干渉除去を実行できます。まず、センサー パラメーターの内部調整を使用して、悪天候時のデータ品質を向上させることができます。さらに、センサーの汚れを液体やワイパーで掃除するなどの追加装置を追加することで干渉を排除したり、雨、雪、氷、霜によるカメラへの悪影響を防ぐために自己発熱装置を追加したりすることもできます。さらに、データノイズ除去などの前処理技術を使用して、環境干渉を除去することもできます。たとえば、画像の曇りを除去するための一般的なアルゴリズムには、画像強調、大気劣化モデルに基づく画像復元、深層学習ベースの方法が含まれます。その他の研究は画像に焦点を当てています。雨技術は主に、雨滴（レンズに付着）除去と雨滴（空気中に拡散）除去の 2 つのカテゴリに分類され、LiDAR については、ピクセル指向の評価によって雨滴をフィルタリングできる自動画像補正機能をすでに備えている製品もあります。そして雪の結晶。

さらに、干渉除去ステップをスキップして、干渉を含むデータを処理する知覚モデルの能力を直接向上させることもできます。例えば、Huang らは、霧のある画像におけるターゲット検出の問題を解決するために、新しいタイプのデュアル サブネット ネットワーク DSNet を導入し、高速性を維持しながら、多くの高度なターゲット検出器と「曇り除去検出」を組み合わせたモデルよりも優れた検出性能を実現しました。 。

c. 知覚機能の冗長性

単一センサーとその知覚モデルの性能制限を考慮すると、マルチセンサーフュージョン 重要な改善技術です。まず、同様のセンサー フュージョンは、車両の周囲に複数のカメラを配置して 360 度の知覚視点を取得するなど、複数のセンサーの合理的なレイアウトを通じてセンシング範囲を拡大できます。さらに、マルチタイプのセンサー フュージョンは、車両固有の制限を克服するのに役立ちます。性能上の限界があるため、カメラ機能の不足を補うために正確な測距という Lidar の利点を利用したり、センサーの異常を判断するために冗長な情報分析を組み合わせたりするなど、環境情報取得の多様性と精度が向上します。融合センサーの特性に応じて、カメラ、ライダー、レーダーの異なる組み合わせに基づく融合に分けることができ、融合情報のレベルに応じて、データレベル、特徴レベル、ターゲットレベルの融合に分けることができます。 ; 適応加重平均法、クラスタリング クラス アルゴリズム、ベイズ推論などの一般的な融合手法。現在の研究では、悪天候などの誘発条件の影響を考慮し、最適な融合アーキテクチャ、モデル設計、訓練戦略、マルチモーダルデータセットなどについて多くの探査を実施し、いくつかの重要な成果を上げています。さらに、複雑な都市交通シナリオにおいて、路側と都市のセンシング情報を導入して統合協調センシングソリューションを実現することにより、不十分な自転車センシング機能の問題を解決することも重要な研究方向です。

d. 測位機能の改善

測位機能の実装には、主に絶対測位とグローバルに基づく測位が含まれます。ナビゲーション衛星システムなど 同時位置測位およびマッピング（SLAM）に基づく相対測位など前者の代表的なSOTIF問題としては、建物の反射によるマルチパス現象、交通施設や渓谷などの障害物による測位混乱や測位信号損失などが挙げられ、測位信号への対処にはGPS高度や気圧絶対値比較などの手法が利用可能です。高架区間での混乱 問題；後者は主にカメラやライダー等に基づくSLAM測位を含むため、SOTIFが直面する問題は知覚と同様であり、悪天候による測位精度の低下など改善の余地があるマルチセンサーフュージョンやアルゴリズムの最適化などのテクノロジーを通じて。

2 意思決定管理機能の改善

a. 意思決定方法の分類とパフォーマンスの向上

現在主流の意思決定方法には、ルールベースの意思決定と学習ベースの意思決定の 2 つのカテゴリがあります。前者の利点は、強い解釈可能性、専門家の経験の容易な導入、および高い信頼性ですが、不十分な仕様、動的で複雑なシナリオにおける不十分な認知推論能力、不十分な一般化、不十分なアルゴリズムのスケーラビリティなどの制限が発生しやすいです。上記の課題に対しては、まず経験の蓄積やブレインストーミングなどの手法により意思決定ロジックを継続的に最適化することが可能であり、STPAなどのシステム分析手法も意思決定ルール設計の完成度を高める上で一定の指導的意義を持っています。 。さらに、新しいモデリング理論やシナリオ テンプレートなどの情報と技術の導入により、複雑で未知のシナリオに対する意思決定方法の一般化可能性が向上します。さらに、別の予測モジュールの導入により、シナリオを認識する意思決定能力が向上し、元のモデルの欠点が補われます。

近年、模倣学習や強化学習など、学習ベースの意思決定手法に焦点を当てた研究が増えています。このタイプの方法の改善アイデアは、前述の知覚モデルのパフォーマンス向上と似ています。つまり、学習データ、モデル、学習プロセスを改善することで意思決定のパフォーマンスを向上させることができます。

b. 意思決定における SOTIF リスクの監視と保護

意思決定機能モジュールは、取得した環境情報に基づいて対応する戦略を策定します。センシング測位モジュールによって取得された情報が十分に正確であると仮定すると、意思決定の SOTIF リスクは主に環境のトリガー条件によってもたらされます。動作環境（意思決定アルゴリズムへの交通障害の影響など）、および意思決定モジュール自体の不十分な機能によって引き起こされるセキュリティ問題は、リスクの監視と保護で考慮される 2 つの主な要因に対応します。

特定の道路タイプなど、環境内のトリガー条件をターゲットにし、ODD などにより達成可能な制約条件を分析、評価、検証結果と組み合わせて、ODD を段階的に明らかにします。環境条件を監視するための参照として、地図、測位、特定のシーン認識などのテクノロジーを使用して、現在のリスクをリアルタイムで判断します。環境内の交通参加者の不確実な動きを対象として、対応するリスク定量化モデルとリスクに敏感な安全意思決定手法を設計することで、より安全な意思決定結果を得ることができ、また、異常行動検出技術を使用して予期せぬ交通を検出することもできます。環境への参加者、行動の特定。

意思決定モジュール自体の潜在的な機能欠陥を考慮して、形式的検証技術は意思決定のセキュリティ検証の分野で広く研究されてきました。現在の意思決定の結果が事故につながるかどうか、その仮定の合理性も安全性検証の有効性を左右する重要な要素です。さらに、意思決定モジュールは、予測と行動選択の 2 つの主要なサブモジュールに分割されており、図 8 に示すように、不十分な予測機能の定量化をリスクの監視と保護に使用できます。予測モデルの不確実性を定量化して伝播することで、安全な意思決定が可能になります。

#図 8 予測の不確実性を考慮した安全性の意思決定

さらに、低レベルの自動運転の意思決定の処理が難しいシナリオでは、機能を制限したりドライバーに引き継ぎを要求したりすることでリスクを軽減できます。

c. 意思決定機能の冗長性

単一クラスの意思決定の限界を考慮してモデル、ハイブリッド意思決定 (図 9 を参照) 相補的な利点を使用して、機能をさらに向上させることができます。たとえば、ルールベースの意思決定は、高次元の不確実性環境をモデル化することが困難ですが、その解釈可能性と信頼性により、学習ベースの意思決定を補うことができます。ルールを統合した自己学習ハイブリッド意思決定を例にとると、知識やルールによる報酬関数の調整、探索プロセスの調整、出力アクションの調整、戦略トレーニングの反復プロセスの調整などが含まれます。意思決定結果の信頼性を向上させます。また、車路クラウド連携やクラウド制御システムなどの技術開発により、クラウドによる交通状況監視情報の導入、マクロな意思決定制御ガイダンス、演算能力支援などの安全性判断を強力にサポートします。路側の設置により、車載意思決定システムの問題が軽減される可能性があります。

##図 9 ハイブリッド意思決定の一般的な枠組み

d. 制御機能の改善

制御機能の SOTIF 問題には、主に 2 つの側面が含まれます。 1) 制御 動的モデリング層の制限により、車両運動特性の表現が不十分であり、コントローラー自体にもリアルタイム性能などの性能制限がある (2) アクチュエーターには実行精度、最大ステアリングまたはブレーキ能力の限界があり、リアルタイム応答能力やその他の制限があり、道路状況、機械、強風などの外部干渉の影響を受ける可能性があります。したがって、その機能改善は主に、アクチュエータの精度や応答時間などの性能の改善、保護のための高リスクの作業条件の監視、冗長性を実現するための新しいコントローラまたはアクチュエータの追加など、上記の 2 つの側面に焦点を当てることができます。アルゴリズムレベルでは、堅牢なフォールトトレラント制御などが制御モデルを改善する代表的な技術です。

3. 合理的に予見可能な誤用への対応

分析と評価の段階で合理的に予見可能な誤用を完全に特定することは、そのようなリスクに対処するための重要な前提条件であり、STPA やその他のテクノロジーを使用して支援することができます。分析。 。潜在的な誤用に対処する方法は数多くあります。まず、ユーザーマニュアルとトレーニングを最適化することで、不明確なルールや不十分な知識による運転手や乗客による誤用を減らすことができます。運転中、ドライバーや同乗者の姿勢状態、極端な異常状態、シートベルトの状態などの状態を監視することで、早期に警報を得ることができます。代表的な監視情報の取得方法としては、ドライバー監視カメラ、シート位置、ステアリングホイールセンサーなどが挙げられます。 Abboodらは、瞳孔反応やEEG信号などのセンサー感知情報と、行動予測と介入のためのドライバープロファイルなどのカスタマイズされた情報を使用する、疲労検出および予測モデルを提案しました。潜在的なリスクが検出され、介入が実行される場合、視覚、聴覚、触覚、その他のインタラクティブな形式を通じて警告や行動の提案を提供できますが、同時にインタラクティブなコンテンツは合理的に設計される必要があります。半自動運転によって伝達される情報はドライバーの姿勢と安全性に影響を及ぼし、提供される情報の量と種類は合理的に規制される必要があると提案しています。さらに、避けられない誤用の可能性を考慮して、実装が難しい機能的な操作方法（座席、ボタンの位置、起動アクションなど）を設計し、次のような特定のシナリオでドライバーと乗客の権限を制限することによって、安全性を向上させることができます。高速シナリオでは、都市部の自動駐車機能のアクティブ化を無効にします。

4. 車両層の機能の改善

スマート カーは複数のモジュールの複雑な相互作用を統合しており、単一の機能モジュールの改善だけでは SOTIF を完全に保証するのに十分ではありません。各モジュールに対応するSOTIFの問題を完全に排除することは難しく、車両システム設計の最適化により残存リスクを最小限に抑える必要がある一方で、各機能モジュールが期待される機能を達成できたとしても、車両の仕様が不十分である設計が依然として有害な動作を引き起こす可能性があります。したがって、各モジュールの機能不足の問題とそれが直面するトリガー条件を車両レベルから総合的に考慮してシステムソリューションを策定する必要があります。

車両システムの設計では、異なる機能モジュール間での SOTIF リスクの伝播を十分に考慮する必要があります。近年、スマートカーの上流機能と下流機能の系統性や補完性に焦点を当てた研究が増えているが、上記の意思決定におけるSOTIFリスクにおける上流のセンシングおよび測位モジュールの完璧な性能についての仮定は、実際には困難である。不十分なセンシングおよび位置決め機能によって引き起こされる問題を考慮すると、これは決定設計によって補うことができます。例えば、意思決定モジュールにおいて、センサー入力のノイズやオクルージョンに起因する知覚不足や、知覚結果のカテゴリ不確実性や位置不確実性などの情報を考慮することで、不十分な知覚機能が車両の安全性に及ぼす影響を軽減できます。さらに、不十分なセンシング機能や意思決定機能によるリスクも、制御モジュールを通じて軽減できます。

さらに、現在の研究では、システムの自己認識 (自己認識) の開発に焦点を当てており、これにより、外部動作環境と内部機能の包括的な認識とリスク保護能力が向上します。状態。 。自己認識の実現には、スマートカーのスキルマップ、機能マップ、車両アーキテクチャ全体の多層ビューの構築、それらの統合など、車両全体のレベルからシステムアーキテクチャとそのモジュールを完全に理解する必要があります。車両の自己認識に基づいて、環境センサーや車両固有のセンサーを使用して内部および外部の状態を認識および表現し、安全に関する意思決定やシステムの自己を組み合わせるなど、システムの安全性監視を実行できます。 -リスク保護を実現する規制技術。

システムの複雑さと各モジュールの結合度が増加するにつれて、車両レベルでの SOTIF 改善のための包括的な技術ソリューションの需要も増加しています。不明確なリスクメカニズムや定量的指標、不完全な監視技術、システムアーキテクチャや機能モジュールの多様性、複雑なシステムの分析の難しさなど、現在の技術では依然として効果的に対処することが困難です。車両レベルでの SOTIF リスク保護システムはさらに開発する必要があります (図 10 を参照)。SOTIF のシステム保証は、SOTIF リスクの垂直伝播を総合的に考慮し、全体を監視することで実現できます。

図 10 車両レベルの SOTIF リスク保護システム##

SOTIF は運用フェーズ中の主要テクノロジーを保証します

SOTIF リリース ガイドラインを満たすことは、リスクを完全に排除することを意味するものではありません。一方で、シナリオのロングテール効果により、運用段階では、開発段階では考慮されなかった機能上の欠陥やトリガー条件に必然的に遭遇することになりますが、他方では、環境、インフラストラクチャ、ポリシー、および環境などの要因が影響を及ぼします。図 11 に示すように、規制や行動習慣などが開発段階の状況と比較して変化する可能性があり、その結果、新たな未知の危険なシナリオが発生します。上記の未知のリスクに効果的に対処するために、運用段階での SOTIF 保証にいくつかのテクノロジーを使用できます。これには、主に短期的なリスク保護と長期的な機能改善の 2 つのカテゴリが含まれます。

#図 11 運用中の未知のリスク源の分析

短期的なリスク保護は、運用フェーズ中の未知のリスクからリアルタイムで保護することを目的としており、鍵はリスクのモニタリングにあります。異常検出テクノロジを使用すると、通常のデータ インスタンス領域から逸脱した入力を特定し、それらに異常スコアまたはラベルを割り当てることができます。分布の変化や分布外の入力によって引き起こされる未知のリスクに対する特定の監視機能があります。一般的な方法には、教師あり、半教師あり、教師なしなどの手法は、当初はセマンティック セグメンテーションやビジョンベースの安全なナビゲーションなどのタスクに適用されてきました。

さらに、さまざまな異常検出手法の比較に焦点を当てた研究もあり、Henriksson らは 7 つの評価指標を使用して 2 種類の異常検出手法を比較する構造化ディープラーニング モニター評価フレームワークを提案しました。自動運転モニター (畳み込みニューラル ネットワーク分類器と変分自動エンコーダー) のさまざまなテスト ケースでのパフォーマンス、自動運転モニターが異常検出を通じて新しい交通シーンを識別できること、その後の研究で上記の作業を拡張し、4 つのタイプを選択しましたのディープ ニューラル ネットワークと 3 つの異なるモニターを使用して、ネットワークのさまざまなトレーニング段階でのモニターのパフォーマンスを比較し、モニターのパフォーマンスが低下し始めるポイントを検出しました。さらに, 認知的不確実性は, 実際の操作入力を処理するときにモデルによって示される信頼度を反映することができます. 研究によると, モデルには分布の変化や未知のデータ入力などに対する特定の検出機能があることが示されています. 認知的不確実性を抽出するための典型的な方法には, ベイズ近似推論,図 12 に示すように、モンテカルロ ドロップアウト、深い統合、深い証拠の回帰など。監視されたリスクに応じて、不確実性に敏感な意思決定モデルの設計と戦略の切り替えを通じてセキュリティを保証できます。

図 12 認知的不確実性を抽出するための典型的な方法 #長期的な機能改善は、運用段階で発見された新たな SOTIF ハザードに対する機能改善とシステム アップグレードを実行し、関連するリスクをより効果的に排除することを目的としています。主要なデータの検出と記録、増分学習と成長プラットフォーム、OTA アップグレードなどのテクノロジー。まず第一に、スマートカーの期待される機能の欠如や運用段階でのその導入につながる主な要因を発見して記録する必要があります。具体的には、これを運用中の未知のリスクモニタリング、高リスクデータ、または事故データと組み合わせることができます。マイニング、環境や規制などの外部要因の変化の追跡と記録を達成するための方法。さらに、重要なデータのフィードバックに基づいたシステム更新反復メカニズムの確立と改善は、発見された新たな問題を完全に解決するための重要な保証となります。たとえば、テスラなどの企業は、自動運転の学習および成長プラットフォームで一定の調査を行っています。機械学習では継続学習などのテクノロジーが使用されており、他の分野でもロングテール シナリオに対処できる可能性が示されています。さらに、OTA などのリモート アップグレード テクノロジーにより、自動運転ソフトウェアのアップデートのコストと効率を効果的に改善できます。

研究の展望と概要

SOTIF保証のための既存の主要技術を整理し、研究の欠陥と開発傾向を統合することに基づいて、以下の研究が提案されています。

(1) SOTIF 保証に関する基礎理論研究を強化する。 SOTIF 問題の本質から始めて、SOTIF リスクの生成、拡大、進化のメカニズムを学びます。理論分析と実験検証を通じて、スマート カーの潜在的な機能欠陥、トリガー条件、それらの間の影響関係を整理し、スマート カーの典型的な機能アーキテクチャと組み合わせて、異なるモジュール間の SOTIF 問題の影響と伝播メカニズムを調査しました。進化理論に基づくリスクダイナミクスを研究するとともに、AIなどの新技術に存在する不確実性やブラックボックス問題を考慮し、システム機能が不十分な本質的な原因を徹底的に研究します。 。さらに、統計、情報理論、その他の分野の研究と組み合わせて、SOTIF リスク定量化モデルが構築され、オフライン評価認証とオンライン リスク予防および制御技術の実装のための理論的基盤が築かれています。

(2) SOTIF リスク保護技術システムを構築します。 理論的研究に基づいてシステム改善のアイデアを検討し、車両の SOTIF リスクを軽減します。 SOTIF ハザード生成メカニズムとリスク モデルを組み合わせて、スマート カーの各モジュールの機能改善技術を探索および最適化し、自己認識および自己規制機能を備えた車両レベルの SOTIF リスク保護システムをさらに構築します。図13に示すように、システムの内部状態（AIモデルなど）、外部動作環境（ODDなど）、その他の制約（交通規制など）などの情報を統合して監視し、適応型セキュリティを実現します。意思決定モデルは、SOTIF リスクを保護するように設計されています。

##図 13 SOTIF リスク保護システム

# (3) SOTIF 保証技術の無害な更新メカニズムの形成を促進します。 現在のスマートカー分野自体は、まだ模索段階にあり、複数のルートが共存し、技術が急速に反復されるという特徴があると同時に、技術の発展に伴う環境の変化や長期的な存続が求められています。シナリオにおけるロングテールの問題、新たな未知の危険な問題が引き続き発生する可能性があります。したがって、SOTIF保証技術研究のための健全な更新メカニズムを確立し、問題の監視、フィードバック、更新の自動化プロセスを改善し、柔軟で高速かつ持続可能な自動分析、自己学習の成長および再認定システムを確立する必要があります。 SOTIF保証技術とスマートカー技術の統合を実現するために研究を進め、同期開発を行っています。

つまり、SOTIFの研究は、スマートカーが最終的に社会に受け入れられるかどうかに大きな意味を持っています。しかし、この分野の現在の標準はまだ完成しておらず、業界の実践はまだ模索段階にあり、技術研究システムによるサポートが不足しています。本論文は,SOTIF問題の本質から出発して,SOTIF保証技術体系を整理し,研究展望を提供し,それによってスマートカーSOTIFの技術研究と産業実装を支援することを提案した。

以上がスマートカーに期待される機能の安全性を確保するためのキーテクノロジーの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。