高度運転支援システムにおける安全アーキテクチャの調査

JARI Research Journal
20150607
【研究活動紹介】
高度運転支援システムにおける安全アーキテクチャの調査
Resarch of Safe Architecture in Advanced Driver Assistance Systems
金子
貴信 *1
Takanobu KANEKO
1. はじめに
中村
英夫 *1
Hideo NAKAMURA
する．フェールオペレーショナルは｢車両のハザー
高度運転支援システムは，自動化のレベル1)に
ド（危険）となるような1次故障がE/Eシステムに
応じて，高速道路での定速走行・車間距離制御
発生してもシステムの動作を正常に継続するこ
（ACC）
，車線逸脱防止システム（LKAS）などか
と｣と考えられる．操舵系の電動パワーステアリン
ら自動運転システムを含むものまであり，これら
グシステム（以下，EPSと略す）を例に説明する
のシステム開発が世界各国で盛んに進められてい
と，従来，EPSに故障が発生した場合の安全機構
る．一方で，高度運転支援システムを構成する電
（フェールセーフ）の多くはドライバへの操舵ア
気/電子システム（以下，E/Eシステムと略す）に
シストを｢停止｣することであった．今後，より大
故障が発生し，走行中に前方障害物に衝突するな
型な乗用車へのEPSの普及や高度運転支援シス
どの事故（危害）によるリスクを低減するための
テムへの適用を考慮すると故障しても操舵アシス
安全設計が必要と考えられ，自動車用E/Eシステ
トを｢継続｣する安全機構（フェールオペレーショ
ムの機能安全規格ISO 262622) （2011年11月発
ナル）への進化が必要である．加えて，ISO 26262
行）の適用が考えられる．この規格は，E/Eシス
の規格改訂活動を実施している国際的なワーキン
テムに故障が発生してもフェールセーフなどの安
ググループ（ISO/TC22/SC32/WG8）や公益社団
全機構を設けることにより，ドライバ，乗員や交
法人自動車技術会の中でもフェールオペレーショ
通参加者等への危害となるハザード（危険）を許
ナルの議論が活発に行われている．
容可能なレベルに低減する考え方である．3章で
述べるが高度運転支援システムの場合は，システ
3. 高度運転支援システムにおけるフェールオペ
ムに故障が発生した場合でもシステムの動作を正
レーショナル
高度運転支援システムの中で，特にレベル 3（例，
常に継続すること（フェールオペレーショナル）
が求められる．そこで，本調査では，ISO 26262 の
ドライバは平常時にハンドルから手を離せる）以
ベースとなったプラント，発電所，鉄道などの安
上の自動運転システムにフェールオペレーショナ
615083)（電気/電子/プログラマブル電
ルが必要となる理由について説明する．図 1 に自
全規格IEC
4)を示す．
子安全関連系の機能安全）に規定される安全アー
動運転システムの機能アーキテクチャ例
キテクチャ（冗長構成など）について整理し，宇
Fig.1 の各種センシング機能で周辺環境などを検
宙航空などを含む他分野での安全アーキテクチャ
出された結果から，ローカルダイナミクスマップ
の事例の調査を行い，今後の課題について検討し
が作成される．次に，目標軌跡，車間距離，車速
た結果を報告する．
などから操舵角や制動/駆動指令値が演算され，操
舵系，
エンジン系，制動系システムに入力される．
自動運転システムでは，システムに故障が発生
2. フェールオペレーショナルと検討の背景
最初にフェールオペレーショナルについて説明
した場合，路肩や路側に停止し，ドライバに運転
を引き渡すまでシステムの機能を継続すること
＊1 一般財団法人日本自動車研究所 ITS研究部
JARI Research Journal
－ 1 －
(2015.6)
検　知
認　知
判　断
操　作
IF1-1
ﾄﾞﾗｲﾊﾞ操作量
HMI入力
（ｱｸｾﾙ/ﾌﾞﾚｰｷ/
ﾊﾝﾄﾞﾙ/目的地）
ﾄﾞﾗｲﾊﾞ操作量
IF2-2
IF4-1
IF3-1
IF3-2
軌跡追従制御
軌跡追従制
（車線維持含）
御
目標軌跡
IF1-2
GPS
(現在座標）
Dマップ情報
IF1-3
AI
危険予測
AI
危険回避
（潜在ﾘｽｸ
ﾓﾃﾞﾙ）
（模範運転
ﾓﾃﾞﾙ）
目標軌跡
目標車速
生成
IF1-4
IF2-1
IF2-1
（前後左右､
距離、イメージ）
IF1-5
ﾛｰｶﾙﾀﾞｲﾅﾐｯｸ
MAP作成
AI
走行周辺環境
物体認識
操舵角指令値
IF4-2
IF4-13
IF4-6
操舵
ﾓｰﾀ
IF4-7
ｽﾛｯﾄﾙ
ﾓｰﾀ
ｴﾝｼﾞﾝﾄﾙｸ
制御系
制御
切替
分配
制駆動力
指令値
（情報合体）
（情報統合）
IF4-8
IF4-9
ﾏｽﾀ圧
調整機構
調整機構
ﾌﾞﾚｰｷ力
制御系
制御
緊急回避操作量（TTC短）
（静止物、
移動物）
IF4-3
操舵角
制御系
制御
切替
IF4-5
車速制御
（ACC/CACC含）
IF1-4
走行周辺環境
検出用ｾﾝｻ
IF4-4
目標車速
MAP
（道路線形、
路側構造物）
IF4-12
IF3-3
目的地
走行路に対する自車位置／姿勢
先行車間距離
IF2-5
路車間通信
（V2I）
IF1-6
携帯通信
（クラウド）
IF1-7
セキュリティ
各種機能
外部侵害
検知/阻止
交通管制情報等
クラウド先読み情報　（定時性必要なし）
セキュリティ侵害情報（ハッキング等）
先行車情報（速度/加速度）
車車間通信
（V2V）
IF1-8
ﾖｰﾚｰﾄ
車両状態ｾﾝｻ
車速
（ﾖｰﾚｰﾄ､車速）
IF1-9
IF2-3
IF3-4
IF4-10
性能限界
判定
IF2-6
ドライバ操作量
IF2-4
故障診断
通常／緊急
時
判別
IF4-11
表示器
音声器
HMI出力
ドライバ診断
図1 自動運転システムのアーキテクチャ例（出典：文献4)）
が必要と考えられている．そこで，｢継続｣，すな
故障が発生した場合，故障診断チャネルで検出し，
わちフェールオペレーショナルの安全アーキテク
制御チャネルの出力を停止できる．この1oo1Dの
チャについて調査を行った．
アーキテクチャは安全機構であるが，出力を継続
しないためフェールオペレーショナルではない．
4. 安全アーキテクチャの整理
フェールオペレーショナルは様々な構成が考え
表1 フェールセーフのアーキテクチャ例
らるれため，参照となる構成のアーキテクチャを
（出典：文献3)をもとに作成）
調査，整理した．安全アーキテクチャは，IEC
安全アーキテクチャ
61508-63) などに記載されており，一般的に安全
性，フォールトトレランス（システムに故障が発
チャネル
1oo1D
生しても正常な動作を維持する）のアーキテクチ
ャとして知られている．以下にそれらの結果を記
診断
1次故障
発生時
フェールセーフ
出力停止
停止
1oo1D
載する．
4.2 フェールオペレーショナルのアーキテクチャ
表 2 にフェールオペレーショナルの安全アーキ
4.1 フェールセーフのアーキテクチャ
表1に示す安全アーキテクチャは現在の自動車
テクチャ例を示す．例えば，1oo2D（1 out of 2
用E/Eシステムで多く採用されている安全機構
channel with Diagnostics）のアーキテクチャは，
（フェールセーフ）の例である．1oo1D（1 out of
制御チャネルが 2 つ並列にあり，それぞれ故障診
1 channel architecture with diagnostics）のアー
断付きのチャネル 2 系統をもつ 1 出力構成になっ
キテクチャは，制御チャネルと故障診断チャネル
ている．一方の制御チャネルに故障が発生した場
をもつ1出力構成となっている．制御チャネルに
合，出力を停止し，正常側のチャネルに切り替え
JARI Research Journal
－ 2 －
(2015.6)
て出力は継続される．
用モータ（1 台）
，クラッチなどから構成される．
また，2oo3（2 out of 3 channel）のアーキテク
図 3 より，3 台の ECU（3 チャネル）による多数
チャは，制御チャネルが3つ並列にあり，それぞ
決を行い，１つの ECU のシステムが故障と判断
れ故障診断付きのチャネル3系統をもつ2出力構
された場合，基本的には SBW の機能を停止し，
成になっている．このアーキテクチャは多数決を
通常の操舵アシスト（EPS）の機能へ縮退する．
行い，１つの制御チャネルに故障が発生した場合，
また，ECU の故障モードによっては SBW 機能を
残りの2つの制御チャネルの結果が一致すれば2
継続した後に EPS へ縮退する場合もある．この
つの出力は継続される．
事例は 3 チャネルの多数決を行い，縮退と継続を
含むフェールオペレーショナルの安全アーキテク
表2 フェールオペレーショナルのアーキテクチャ例（出
チャと考えられる．
典：文献3)をもとに作成）
1次故障
発生時
安全アーキテクチャ
チャネル1
1oo2D
フェール
オペレーショナル
診断1
1oo2D
診断2
出力切替（継続）
継続
（1oo1D）
チャネル2
フェール
オペレーショナル
チャネル1
2oo2
2oo2
診断
出力継続
ECU1～3
継続
（1oo1）
チャネル2
チャネル1
2oo2D
フェール
オペレーショナル
診断1
2oo2D
診断2
出力継続
継続
図2
（1oo1D）
SBWシステム構成（出典：文献5)）
チャネル2
フェール
オペレーショナル
チャネル1
2oo3
診断
チャネル2
2oo3
出力継続
チャネル3
継続
チャネル1
（1oo2）
ECU1
多数決
チャネル2
以上の結果より，1oo2D以上の安全アーキテク
モータ
クラッチ
ECU2
チャネル3
チャであれば，フェールオペレーショナルが可能
縮退
ECU3
であることがわかった．
図3
5. 安全アーキテクチャの事例調査
SBW制御の安全アーキテクチャ（想定）
（出典：文献5)をもとに作成）
次に，自動車や宇宙航空などの他分野を含む安
全アーキテクチャの事例調査を行った結果を記載
5.2 自動運転隊列走行の事例
図 4，5 に自動運転隊列走行 6)で用いられた車両
する．
制御ボードの外観と安全アーキテクチャを示す．
１系統（メイン）の制御ボード上に A/B 系の２つ
5.1 自動車ステアバイワイヤの事例
本事例は操舵系のステアバイワイヤ（以下，
のマイコンが実装され，同様に 2 系統（サブ）の
と略す）5)に関する構成例と安全アーキテク
制御ボードも構成されている．図 5 より，メイン
チャを図 2，3 に示す．従来，ステアリングとタ
の A/B 系マイコンの演算結果を比較して，不一致
イヤの間は機械的に接続されていたが，SBW は
となった場合はメイン出力を停止し，サブ系に切
電気的に接続するシステムである．図 2 より 3 台
替えて制御出力を継続する構成である．この事例
の電子制御ユニット（以下，ECU と略す）それ
は先に示した 1oo2D のフェールオペレーショナ
ぞれに接続された転舵用モータ（2 台）
，反力生成
ルの安全アーキテクチャと考えられる．
SBW
JARI Research Journal
－ 3 －
(2015.6)
5.4 宇宙船の事例
A系マイコン
図 7 に示すスペースシャトルのフライト制御シ
比較照合器
ステム
8)の事例について説明する．フライト制御
システムは 5 台のコンピュータ（チャネル）から
B系マイコン
構成されている．チャネル 1～4 は多数決を行い，
1 つが他と異なる指令を出した場合は，残りの 3
図4
隊列走行と車両制御ボードの外観（出典：文献6)）
つと比較を行い，異なった指令を出しているチャ
ネルをフライト制御から除く．また，チャネル 5
（バックアップフライトシステム）はチャネル 1
A系マイコン
～4 とは独立性をもって開発されており，4 つの
チャネル1
チャネルが故障した時に切替動作する．以上によ
B系マイコン
停止
診断1
停止
診断2
り複数のチャネルに故障が発生しても安全に飛行
切替
できるように設計されている．この事例は 4 チャ
出力継続
B系マイコン
ネルの多数決＋バックアップチャネルによるフェ
チャネル2
ールオペレーショナルの安全アーキテクチャと考
A系マイコン
えられる．
図5 車両制御の安全アーキテクチャ（1oo2D）
（出典：文献 6)をもとに作成）
チャネル1
5.3 航空機の事例
チャネル2
航空機は一般的に 3 重系を基本として考えられ
ている．図 6 に示す B777（ボーイング社）のフ
ライト制御システム
チャネル3
チャネル4
バックアップ
されている．そして，各 ECU は 3 チャネルで構
チャネル5
成され，それぞれのチャネルは異なるメーカで製
図 7 スペースシャトルのフライト制御システム
作され，同じ演算を実施する．また，各チャネル
（出典：文献 8)をもとに作成）
の出力は 3 系統のバスを介して演算結果が比較さ
れ，出力が決定されるため，1 つの ECU が故障
してもフライト制御を継続できる．この事例は 3
×3 重系の多数決によるフェールオペレーショナ
ルの安全アーキテクチャと考えられる．また，各
ECU，チャネルが高い独立性（設置場所，メーカ
など）をもって構成されていることが特徴である．
Left PFC
CH2
B社
切替
7)の事例について説明する．
ECU 3 台が分散して設置（Left/Center/Right）
CH1
A社
多数決
Center PFC
Right PFC
CH3
C社
以上の結果より，本調査の範囲においてフェー
ルオペレーショナルの安全アーキテクチャは，自
動車用では 2 チャネル（故障検出系を含めると 4
チャネル）または，3 チャネルなどのアーキテク
チャが採用されている．また宇宙航空分野では 3
チャネル以上の高い冗長構成をもつアーキテクチ
ャが採用されていることがわかった．
6. まとめ
高度運転支援システムの安全設計を行うために
L
C
R
フェールオペレーショナルの安全アーキテクチャ
PFC:Primary Flight Computer
CH:Channel
と事例を調査した．
図 6 航空機のフライト制御システム
（出典：文献 7)をもとに作成）
JARI Research Journal
－ 4 －
(2015.6)
1) 本調査結果では1oo2D以上のフェールオペレ
8. 最後に
ーショナルのアーキテクチャにより故障発生
高度運転支援に関する E/E システムの安全性の
後に制御の継続を実現できると考えられる．
検討は着手したばかりであり課題は多い．現行の
2) 自動車分野では2チャネル以上，宇宙航空分野
機能安全規格では E/E システムの故障を対象とし
ではより多重化されたチャネル構成のフェー
ているが，高度運転支援システムの場合，性能限
ルオペレーショナルのアーキテクチャが採用
界，ドライバの誤操作なども考慮する必要がある．
されている．
例えば，前方障害物を認識するセンサに西日が当
たって検出できなくなるような，故障ではない性
能限界の扱いなどについて ISO 26262 2nd
7. 今後の課題
本調査によりフェールオペレーショナルの安全
アーキテクチャと事例を把握できた．今後の課題
Edition に向けた改訂の中で議論されており，そ
れらの動向を把握する必要がある．
について以下に記載する．
末尾ながら，本調査報告は日本自動車研究所が
受託した経済産業省の委託事業｢平成 26 年度次世
7.1 安全アーキテクチャの定量的評価
代高度運転支援システム研究開発・実証プロジェ
高度運転支援の E/E システムでは，故障時の安
クト｣のセーフティに関わる部分を紹介するもの
全性を構築した上で故障しにくい，高い信頼性を
である．本プロジェクトに参加された方々のご協
確保する設計が必要である．今後，各安全アーキ
力に感謝いたします．
テクチャについて安全性，信頼性に関する定量的
な評価が必要と考えられる．
安全性の評価については，例えば FTA（Fault
Tree Analysis）を用いて事象の発生（各アーキテ
クチャの機能不全）をトップ事象にして，その事
象が発生する要因を階層的に検討してトップ事象
の発生確率を定量的に解析する．また，信頼性の
評価については，各安全アーキテクチャの信頼性
（信頼度）は構成要素である各チャネルの故障率
参考文献
1) National Highway Traffic Safety Administration：
http://www.nhtsa.gov (2015.4.20), " Preliminary
Statement of Policy Concerning Automated
Vehicles"
2) ISO 26262, Road vehicles Functional safety(2011)
3) IEC
61508-6,
Functional
safety
of
electrical/electronic/programmable
electronic
safety-related systems, Annex B(2010)
4) 平成26年度次世代高度運転支援システム研究開発・実
から定量的に求められる．これらの評価結果を比
証プロジェクト成果報告書，一般財団法人日本自動車
較して適切なアーキテクチャの検討が必要と考え
研究所, 第3章p.Ⅲ1-14 (2015)
5) 日産自動車株式会社：
られる．
宇宙航空のように高い冗長化をすることで安全
http://www.nissan-global.com/JP/TECHNOLOGY/O
VERVIEW/direct_adaptive_steering.html
(2015.4.20)
6) 平成20年度－平成24年度成果報告書エネルギーＩＴ
性，信頼性を実現することも可能であるが，自動
Ｓ推進事業協調走行（自動運転）に向けた研究開発,
車へ適用する場合は以下を考慮する必要がある．
国立研究開発法人新エネルギー・産業技術総合開発機
7.2
フェールオペレーショナルの条件など
1) フェールオペレーショナルの継続時間（例，路
肩に停止するとした場合に許容される時間）
2) フェールオペレーショナル中の2次故障発生
（その対処としてシステム停止/継続か？）
3) 冗長系の独立性や共通原因故障への対応
構, 第1章p.185-205(2014)
7) Yeh, Y.C.：Triple-triple redundant 777 primary flight
computer, IEEE Aerospace Applications Conference,
1996. Proceedings., vol.1, p.293-307(1996)
8) Roscoe C. Ferguson, Robert Tate, Hiram C.
Thompson ： Implementing Space Shuttle Data
4) 部品数の増加によるシステムのサイズ，重量へ
の影響など
JARI Research Journal
－ 5 －
Processing System Concepts in Programmable Logic
Devices,
United
Space
Alliance,
MAPLD
International Conference(2006)
(2015.6)

Download Report