ISO21448
ISO21448(SOTIF:Safety Of The Intended Functionality)とは、車載用電子制御システム(以下、ECU:Electronic Control Unit)の意図した機能の安全性に関する国際規格です。
「意図した機能の安全性」とは、ECUの「システム故障がない状態での危険」を防止することを目的としており、「システム故障による危険」を防止する ISO26262 を補完する位置付けとなります。
ISO26262 | 機能安全 | システム故障による危険の防止 |
ISO21448 | 意図した機能の安全性 | システム故障がない状態での危険の防止 |
尚、「システム故障がない状態での危険」には以下のものが考えられます。
- 機能の性能・仕様の不十分性
- 合理的に予見可能な人の誤使用
- 外部環境の影響
SOTIFの目標
故障のシナリオを安全と危険、既知と未知という軸で4つの領域に分けます。SOTIFの目標は、未知な領域と危険な領域を最小にすることです。
章構成
ISO21448は以下のような13の章で構成されています。
5章:仕様と設計
SOTIFのアクティビティの最初は仕様の定義と設計です。また、8章のリスクに対処するための機能変更が必要となった場合は、この仕様と設計のフェーズに戻ることがあります。
6章:ハザード分析と評価
意図した機能の潜在的なリスクに対して、安全性への影響を考慮し、ハザード分析と評価を行います。受け入れ基準は以下で定義されており、これらが “0” の場合に危害リスクは許容可能であると評価します。
- 回避可能性(Controllability)
- 過酷度(Severity)
自動ブレーキ(AEB)を例に取ると、自動ブレーキが作動した際に発生し得る危険として、「後方からの衝突」や「乗員の床への転倒」があります。これらをユーザが回避できない場合に、「人の負傷」という危害に至ると分析することができます。
7章:潜在的な機能の不完全性とトリガー条件の評価
6章で特定した危険な動作について原因を分析し、その潜在的な機能の不完全性とトリガー条件(きっかけとなる条件)から生じるリスクが、許容範囲であるかを評価します。尚、システムの安全性解析手法としては、STPA(System Theoretic Process Analysis)などがあります。
8章:リスクに対処する機能変更
7章でリスクを評価した結果、車両レベルの残存リスクが許容範囲に収まらない場合、機能変更を行います。例えば、センサ機能の改善や制御アルゴリズムの変更などが挙げられます。
9章:検証および妥当性確認戦略の定義
7章でリスクを評価した結果、車両レベルの残存リスクが許容範囲に収まる場合、機能要件を満たすことを検証するための具体的な手順や、安全性を保証するために必要なエビデンスを検討します。
10章:既知シナリオの評価
既知シナリオにおける残存リスクが十分に小さいかどうかを評価するため、具体的なテストケースを定義します。
11章:未知シナリオの評価
未知シナリオにおける残存リスクが十分に小さいかどうかを評価するため、具体的なテストケースを定義します。
12章:達成度の評価
11章までの評価結果をもとにSOTIFの達成度を評価し、リリースを承認または却下します。尚、SOTIFの評価を図表で記法する手法としては、GSN(Goal Structuring Notation)などがあります。
13章:運用フェーズの活動
運用中での安全性を監視するために、必要な情報(故障シナリオ、道路環境など)を収集し、継続的にリスクを評価し、許容できないリスクがある場合は解決策を講じる必要があります。
IT
マネジメント、セキュリティ、ネットワーク、システム
散策路TOP
数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論