2017年09月15日 運輸省が発表した自動走行システムの最新ガイダンス『安全性へのビジョン』の概要

運輸省が発表した自動走行システムの最新ガイダンス『安全性へのビジョン』の概要

 

2017年9月15日
NEDOワシントン事務所

 

運輸省は本年9月12日、自動走行システム(Automated Driving Systems:ADS)に関する最新の連邦ガイダンスとなる 『安全性へのビジョン(A Vision for Safety 2.0)』 を発表した。

同ガイダンスは、昨年9月にオバマ政権が発表した『国家自動走行車政策(Federal Automated Vehicles Policy:以下「オバマ政策」[1])』 の提言から大きくかけ離れたものではないものの、オバマ政策と比較すると、(i)オバマ政策が掲げた15項目の安全性評価分野を12項目に変更、(ii)オバマ政策ではレベル2[2]以上であったADS対象レベルをレベル3以上に変更、(iii)ADS及び自動走行車の路上走行に先立って、国家道路交通安全局(NHTSA)へ「安全性評価レター」を提出するよう事業者に求めるオバマ政策の施策を削除するなど、対象範囲及び規模を絞り込んだ内容になっている。

同ガイダンスは、「任意の自動走行システム・ガイダンス(Voluntary Guidance for Automated Driving Systems:以下「任意ガイダンス」)」、及び、「自動走行システムに係る、州政府のための技術支援、及び、立法機関のためのベストプラクティス(Technical Assistance to States, Best Practices for Legislatures Regarding Automated Driving Systems:以下「ベストプラクティス」)」の二部構成になっている。このうち、任意ガイダンスの概要は以下の通り。

 

Section 1:任意の自動走行システム・ガイダンス(以下「任意ガイダンス」)

同任意ガイダンスは、自動走行車技術の実験及び導入に係るベストプラクティスを検討及び設計する自動車業界、州政府及びその他の主要な利害関係者の支援を目的とし、2016年9月に発表されたオバマ政策に代わる、NHTSAのADS現行ガイダンスとなる。

同任意ガイダンスが提示する12項目の重要安全設計要素は、輸送調査委員会(Transportation Research Board)、大学及びNHTSAが実施した研究に基づいて選定されたもの。各要素には、安全目標及び目標達成のために利用可能なアプローチが盛り込まれている。

運輸省では、事業者が、自社システムの設計にあたってこれらの安全設計要素を考慮し、各要素の評価・実験・認証プロセスを記録するよう奨励しているほか、ADSの安全性に関して市民の信用を得るために、自社の実験・導入アプローチを説明する『自主的な安全性自己評価(Voluntary Safety Self-Assessments)』の公開も奨励している。

NHTSAでは、ADS技術の進歩・精緻化に伴って学んだ教訓・新データ・利害関係者のインプットを反映させるために、同任意ガイダンスを定期的に更新する予定である。

同任意ガイダンスの対象範囲、及び12の優先安全設計要素は以下の通り。

【任意ガイダンスの対象範囲】

  • 公道で使用されるADSを設計する事業者(在来型車製造業者、ADSの製造・設計・供給・実験・販売・操作・配備に携わる事業者等)
  • NHTSA管轄下に入る、低速車、オートバイ、乗用車、中量車[3]、及び、トラック・バス他の大型商用車等の車両及び装備。ただし、連邦自動車運用安全局(FMCSA)が規制する州間バス・州間商用車は、自動走行技術の如何に拘わらず運転者が常に乗っていなければならないため、同任意ガイダンスの適用外。
  • SAE International社の定める自動化レベル3(条件付き自動化)、レベル4(高度自動化)、レベル5(完全自動化)
  • ADSのオリジナル装置、交換装置、及びADSアップデート(ソフトウェアのアップデート/アップグレード)

12項目の安全設計要素】

1. システムの安全性

  • 不当な安全性リスクを伴わないADSを設計するため、事業者が、システム工学アプローチに基づく健全な設計・認証プロセスを活用することを奨励する。
  • 事業者が、ISO及びSAE International社等の公認標準開発機関が策定した自主的ガイダンス・ベストプラクティス・設計原則・基準、及び、航空・宇宙・軍事産業等で利用されている基準及びプロセスを採用するよう奨励する。
  • ADSの設計・認証プロセスには、ADSの危険分析及び安全性リスク評価を盛り込むことを検討すべきであり、設計冗長性(design redundancy)及びADSの誤動作に対応する安全戦略を説明するものとする。更に同プロセスでは、ソフトウェアの開発・検証・認証を特に重視するべきである。
  • ADSの有効性及び安全性を改善するため、業界が、人工知能及び、その他の関連するソフトウェア技術とアルゴリズムの進化、導入及び安全性評価をモニターするよう奨励する。
  • 設計に関する全ての決定(design decision)は、個々のサブシステムとして、及び、自動車全アーキテクチャの一環として、実験・検証・認証されるべきであり、事業者がこの全プロセスを文書化するよう奨励する。

2.運用設計領域Operational Design Domain:ODD)

  • 事業者が、自らの車両に利用可能なADSに関して運用設計領域(ODD)を定義し、文書化するよう奨励する。
  • ODDは、ADSがいつ(天候、昼夜等)、どこ(車道の種類、速度等)で、どのように作動するかの定義であるが、ADS機能の定義のために、ODDには少なくとも、(i)車道の種類(州間高速道路、地方の道路等)、(ii)地理的区域(都市、山、砂漠等)、(iii)速度範囲、(iv)環境条件(天候、昼夜等)、(v)その他の制約領域が含まれるべき。

3. 物体・事象の検知と反応Object and Event Detection and Response:OEDR)

  • 事業者が、自社ADSのOEDR能力を査定評価・実験・認証するプロセスを文書化することを奨励する。
  • ADSのOEDRは、車線を出たり入ったりする他車、歩行者、サイクリスト、動物、及び車両の安全運転に影響を及ぼし得る物体を検知して、それに対応する能力を持つほか、緊急車両、工事現場、及び、警察官・他のファーストレスポンダー・建設作業員による交通整理といった様々な予測可能な状態に対応する能力も有するべきである。
  • ADSは、NHTSAがこれまでに確認している衝突前シナリオ(pre-crash scenario)[4]に対応する能力を有するべきである。
  • 事業者が、自社システムの衝突回避能力を査定評価・実験・認証するプロセスを文書化することを奨励する。

4. 予備手段:リスク最小化状態Fallback:Minimal Risk Condition)

  • 問題に遭遇した場合またはADSの安全作動が不可能な場合に、リスク最小化状態へと移行する方法、それらの査定評価・実験・認証に関するプロセスを、事業者が文書化することを奨励する。
  • ADSは、システムの誤動作・劣化・ODD以外の作動を検知して、こうした状態を運転者に知らせる能力を有するべきである。
  • 運転者の手動操作に切り替える予備手段をとる場合には、運転者の状態(注意散漫でないか、酒や麻薬の影響下にないか、眠気を催していないか、その他の機能的障害がないか等)を考慮に入れるべきである。
  • 高度自動化システムで、運転者の手動操作が不可能な場合には、ADSには運転者の介入を必要とせずにリスク最小化状態へと戻る能力が必要である。

5. 認証方法

  • 自動化の異なる機能によって、スコープ、技術及び能力が大きく変わることから、事業者が、自社製ADSに係る安全性リスクの軽減に有用な認証方法を開発することを奨励する。
  • 実験では、正常運転時及び衝突回避時におけるADSのパフォーマンス、ADSのODDに関連する緊急時の代替予備手段を実証すべきである。
  • ADSの公道におけるのパフォーマンスを実証する実験としては、シミュレーション、試験コース、及び、路上テストの組合せが挙げられる。この実験の実施者は、事業者自らでも、独立した第三機関でもよい。
  • 事業者は、実験方法の開発・更新で、国家道路交通安全局(NHTSA)及び、業界標準開発機関(SAE International、ISO他)等との協力を継続すべきである。

6. 人間と機械のインターフェースHuman Machine Interface:HMI)

  • 事業者が、車両のHMI設計を評価・実験・認証するプロセスを文書化することを奨励する。
  • ADSは様々なインジケーターにより、運転者及び乗員に対して、(i)正常機能中、(ii)オートドライブ中、(iii)オートドライブ利用不能、(iv)システムの誤動作、(v)ADSから運転者へのコントロール切替要請、という情報を伝達する能力を有するべきである。
  • HMI設計では、車両が直面する可能性のあるインターアクション[5]に係るADSの作動状況に関して、情報交信が必要であることを考慮すべきである。
  • ADSが運転者や乗員なしで作動することを目的とする車両(配達用又は作業用の車両、SAEの定義する自動化レベル4及び5の車両等)の場合、遠隔の通信指令係(remote dispatcher)又は中央管理機関(central control authority)がADSの状況を常に把握する能力を有するべきである。
  • 事業者が、SAE International社、ISO、NHTSA、米国規格協会(ANSI)、国際照明委員会(CIE)、及び、その他関連機関が発表した自主的ガイダンス、ベストプラクティス、設計原則を検討・採用することを奨励する。

7. 車両のサイバーセキュリティ

  • 安全性へのリスク(サイバー攻撃や脆弱性に起因するリスク等)を最小化すべく、事業者が、システム工学的アプローチに基づく健全な製品開発プロセスを順守することを奨励する。
  • ADSの設計に際して、事業者が、国立標準規格研究所(NIST)、NHTSA、SAE International社、アメリカ自動車製造連盟(Alliance of Automobile Manufactures)、Auto-ISAC(Automotive Information Sharing and Analysis Center)、世界自動車メーカー協会(Association of Global Automakers)、及び、その他関連機関が発表した自主的ガイダンス、ベストプラクティス、及び設計原則を取り入れることを奨励する。
  • 車両のサイバーセキュリティに係る情報を業界内で共有するため、事業者が、ADSのサイバーセキュリティ対応での決定過程を全て記録し、社内実験、消費者からの報告、又は外部のセキュリティ調査で判明したすべての事故・弱点・脅威・脆弱性をAuto-ISACへ報告することを奨励する。

8. 耐衝撃性Crashworthiness)

  • 事業者は、ADS操作に必要な高度センシング技術から得た情報を、年齢・体格に関係のない、全乗員の保護を強化する新たな乗員保護システムに統合することを検討すべきである。
  • 配達等を目的とするADS装備の無人車両では、有人車両、在来型車、及び、その他道路利用者とのインターアクションの可能性を考慮し、全方向衝撃吸収等の適切な衝突コンパティビリティを確保すべきである。

9. 衝突後のADSの挙動Post-Crash ADS Behavior)

  • ADSの実験及び設置に従事する事業者は、衝突事故に巻き込まれた直後にADSを安全な状態に戻す方法(衝突事故の程度に応じて、燃料ポンプの停止、原動力(motive power)の除去、電気の解除、等)を検討すべきである。
  • オペレーションセンター、事故通報センター等との交信が可能な場合には、関連データを通報・共有することを奨励する。
  • 事業者が、修理後のADSの安全作動を保証するために必要な装置及びプロセスを確認できるように、ADSの保守及び修理記録の文書を利用可能にしておくことを奨励する。

10. データの記録

  • ADSを使用可能な車両が衝突した理由を判定するために、警察及び研究者が利用可能な標準データが現在存在しないことから、ADSの実験及び設置に従事する事業者が、誤動作・劣化・故障に係る必要データ収集に関して明確なプロセスを確立することを奨励する。
  • 継続的学習環境を推進するため、実験及び設置に従事する事業者は、(i)人を巻き込んだ致死性傷害又は非致死性傷害、(ii)レッカー車によるけん引を必要とする損傷、に係るデータを収集すべきである。
  • NHTSAは、SAE International社と協力し、ADS衝突事故を再現する一定のデータ要素(uniform data elements)の確立に必要な作業に着手する。

11. 消費者の教育・訓練

  • 従業員・自動車ディーラー・自動車販売店・消費者向けに、在来型車とADSの利用・操作面での相違点を取り上げる教育・訓練プログラムを、事業者が開発、記録、及び維持することを奨励する。
  • ADSの実験及び設置に従事する事業者は、販売員他の自社スタッフが技術を理解し、自動車ディーラー、自動車販売店、及び消費者を教育する能力があることを確認すべきである。
  • 消費者教育プログラムのトピックとしては、ADSの能力及び制約、操作パラメーター、システムの断接方法、HMI、緊急時の代替シナリオ、ODDパラメーター等が挙げられる。
  • ADSディーラー及び販売店は、消費者教育・訓練プログラムの一環として、消費者への車両引き渡し前に、路上又は試験コースでADS操作方法及びHMI機能を実演する実体験を行うことを検討すべきである。

12. 連邦政府、州政府、及び地方政府の法令

  • 事業者が、ADSを設計する際に、連邦・州・地方政府の該当する全ての交通法にどの対応するかについて、自社計画の趣旨を記録することを奨励する。
  • 特定の安全最重視状況(路上の故障車を安全に追い越すために追越禁止車線に入る、等)下において、人間の運転者が交通規則を一時的に破るように、ADSにもこうした予測可能な事態に安全に対応する能力が必要である。事業者が、こうした妥当なシナリオを評価・実験・認証するプロセスを記録・維持することを奨励する。
  • 事業者は、新たな法規定や改正された法規定に対応するため、ADSを更新・適応するプロセス開発を検討すべきである。

 

 

[1] 同政策の概要は、2016年9月26日付のNEDOワシントン事務所調査レポート『運輸省の国家道路交通安全局が発表した「国家自動走行車政策」の概要』で報告。

[2] 2016年5月7日にフロリダ州で死亡事故を起こしたテスラが、自動化レベル2であった。

[3] 車両重量が10,001ポンドから26,000ポンドまでの車両

[4] 車両コントロール不能、車線変更、対向車線横断(左折)時の衝突、反対車線侵入、バック又は駐車の際の低速での後部衝突等。

[5] 在来型車、ADS装備車、オートバイ運転者、自転車運転者、歩行者等とのインターアクション

調査レポート

NEDO本部
Focus NEDO
NEDO Channel
PAGETOP
Copyright © NEDO Washington DC Office All Rights Reserved.