自動運転システム安全設計 - 日本自動車研究所jari research journal (2019.11) 2 2....
TRANSCRIPT
- -
JARI Research Journal (2019.11)
1
自動運転システム安全設計
-第 4報:フェールオペレーショナル・性能限界・ミスユースの安全設計に関する研究-
Safety Design for Automated Driving Systems
-Forth Report : Study on Safety Design for Fail Operational, Performance Limits and Misuse-
中村 英夫*1
Hideo NAKAMURA
金子 貴信*1
Takanobu KANEKO
1. はじめに
ヒューマンエラーに起因した交通事故の低減,
移動手段としての利便性向上,周辺車両との協調
制御による渋滞緩和,輸送効率向上や不必要な加
減速の抑制による自然環境への負荷低減などを目
的に,高度な運転支援システム(自動運転システム
含)が,幅広くグローバルに研究開発 1),2)されてい
る.自動車運転システムは,周辺監視義務を含む
運転主権の所在によって,レベル定義されている.
NHTSA(National Highway Traffic Safety
Administration)や SAE(Society of Automotive
Engineers)のレベル定義を Table 1 に示す.高速
道路での車間距離制御(ACC)と車線逸脱防止シス
テム(LKAS)の組合せなど,既に実用化フェーズに
ある運転支援システム(レベル 2 以下)は,運転主
権をドライバが常に有する.一方,将来的に想定
される自動運転システム(レベル 3,および 4:赤
枠部分)は,周辺監視義務を含む運転主権をシステ
ム側が有する状態がある.前者に比べて後者は,
システムが備える機能と性能,負うべき責任は格
段に高まる.従って,安全性を確実に担保できる
システム安全設計が必須である.
日本自動車研究所がこれまで経済産業省から受
託した「次世代高度運転支援システム研究開発・実
証プロジェクト/自動運転システム安全設計
(2014~2015)」3),4),「高度な自動走行システムの社
会実装に向けた研究開発・実証事業/セーフティ
技術評価環境の構築(2016~2018)」5)~7)では,自
動運転システム(レベル 3,および 4)の安全性を確
実に担保するための課題(安全確保要件)を明確化
して,「考え方・プロセス・方策(何れも事例)」を示
し,「標準化・基準化の論議」「個社開発」「実証事
業」などのバックデータとして広く活用頂くこと
を目標とした.また,社会受容性を踏まえて,備
えるべき最低限の安全確保要件のレベル形成論議
(どの程度の手厚さで対策するか)に役立てて頂く
ことも目標とした.
本稿は,これら事業の成果概要を紹介するもの
であり,「安全アーキテクチャ調査」の第 1 報 8),
ユースケース整理の第 2 報 9),機能安全規格 ISO
26262:2011 10)に沿った車両レベルの機能安全コ
ンセプトフェイズ検討の第 3報 11)に繋がるもので
ある.紹介する成果概要は,操舵制御系を例題と
したフェールオペレーショナル(故障発生時でも
従来機能を継続可能な)詳細設計と実証,センサ認
識系を例題とした性能限界安全設計(基礎研究),
操舵制御系を例題としたミスユース安全設計(基
礎研究)の 3 つである.
Table 1 自動運転レベル定義
JARI Research Journal 20191102
【研究活動紹介】
*1 一般財団法人日本自動車研究所 ITS研究部
- -
JARI Research Journal (2019.11)
2
2. フェールオペレーショナル詳細設計と実証
2. 1 設計
第 3 報で示したように,車両レベルのハザード
分析とリスクアセスメントの結果を受けて,操舵
系,エンジン系,ブレーキ系の各系毎に 2 つ,合
計 6 つの安全目標 Safety Goal(以下,「SG」とい
う)を設定した.操舵制御系を例題とした詳細設計
を行うため,操舵制御系に関する SG を以下に示
す.なお,具体性のある表現に修正している.
SG1:自動運転において車線逸脱に至る操舵失陥
を防止する.
SG2:自動運転において車線逸脱に至る不必要な
操舵を防止する.
SG の実現に向け,故障が生じても操舵系機能を
継続させるための機能安全要求 Functional
Safety Requirement(以下,「FSR」という)および
技術安全要求 Technical Safety Requirement(以
下,「TSR」という)等を導出した.SG を定量的
に表すため「自動運転車両に故障が発生したタイ
ミングから車線逸脱までに至る時間 Fault
Tolerant Time Interval(以下,「FTTI」という)」
および「機能を継続させるために遵守すべき時間」
の算出が重要である.操舵失陥を例に考え方と内
容を示す.走行条件を「高速道路で旋回保舵中」
とおいた.これは,故障発生による車線逸脱が高
速道路で起きた場合,事故によるシビアリティ(危
害の程度)が大きくなるためである.「旋回保舵中
に故障が発生し,Self Aligning Torque(以下,
「SAT」という)によりステアリングが中立位置へ
戻り,その後車両が直進運動に移行して車線逸脱
する」と想定した.Fig. 1 に,FTTI と,車線逸
脱を回避するために必要な操舵系の機能移行時間
(Tc)の関係を示す.図中の Tr は一般的な 2 輪モデ
ルの車両運動方程式より算出し,Ta は Fig. 2 で
示す考え方をもとに算出した.
Tc は,舵角入力から車両姿勢が安定するまでの
時間(Tb)をFTTI(TrとTaの和を含む)から減じた
値とした.道路構造令 12)に準拠した高速道路およ
び首都高を想定した走行条件に対し,各時間を算
出した結果を Table 2 に示す.これら各走行条件
で最も短くなる Tc(240ms)を,安全設計の目標値
の一つとして設定した.
策定した操舵系アーキテクチャをFig. 3に示す.
これは,SG に紐付いた FSR をもとにしており,
故障の際にシステムを継続させるため,従来機能
Intended Functionality(以下,「IF」という)に安
全機構 Safety Mechanism(以下,「SM」という)
を付与した.
TFTTI(FTTI)
Fig. 1 車線逸脱に至るまでの状態
Table 2 車線逸脱に至るまでの時間
場所 曲線半径, m 設計車速, km/h 幅員, m Ta, s Tr, s
380 100 3.50 16.80 0.85 0.14 0.50 0.49
230 80 3.50 21.90 0.80 0.11 0.50 0.41
88 50 3.25 40.60 0.67 0.07 0.50 0.24
Tb, s Tc, s道路条件
高速道路
操舵角, degFTTI(Ta+Tr)
- -
JARI Research Journal (2019.11)
3
Fig. 2 車線逸脱に至るまでの動作
Fig. 3 操舵系アーキテクチャ
操舵制御系に故障が生じた場合,安全性を担保
するためには,Tc(240ms)以内に機能を移行して
継続させる必要がある.例えば,Fig. 3 内の演算
機能(メイン)が故障により機能停止した場合,演
算機能(サブ)が演算機能(メイン)の代わりに制御
を行う事で,操舵系の機能が継続し車線逸脱を防
ぐ事ができる.しかし,演算機能(サブ)が代わり
に制御を行う際,「切り替わった瞬間に車両挙動が
急変し車線を逸脱」のような SG の侵害を避ける
必要がある.本研究において,この SG 侵害を防
ぐため,正常時における演算機能(サブ)の待機状
態をホットスタンバイとした.
2.2 検証
2. 2. 1 操舵角制御システムベンチでの検証
操舵角制御システムベンチを用いた検証では,
操舵系試作コントローラ内の該当機能に意図的に
模擬故障を発生させて(以下,「故障注入」という),
故障検知および切り替え処置が設計通りに動作す
るか確認した.本稿では,演算機能故障時のフェ
ールオペレーショナルに関し,故障注入前後の動
作確認結果を Fig. 4 に一例として示す.演算機能
(メイン)への模擬故障注入によって,車線逸脱を
回避するために必要な機能移行時間 Tc(240ms)以
内に,故障を検知して,演算機能(メイン)のモー
タ駆動指令が停止していること,および演算機能
(サブ)のモータ駆動指令に切り替わることが確認
できた.
- -
JARI Research Journal (2019.11)
4
2. 2. 2 自動運転シミュレータでの検証
シミュレータでの検証目的は,2.1 節で机上算
出した FTTI の確度の確認,およびフェールオペ
レーショナルによる自動運転車両挙動への影響確
認である.Fig. 5 に自動運転シミュレータの構成
図,Fig. 6 に車両挙動の確認画面を示す.
操舵失陥の発生は,CAN 経由で操舵系試作コ
ントローラへ故障注入する構成とした.2.1 節で
の机上算出値と,本節のシミュレータ確認結果と
の比較を Table 3 に示す.車速が低く,操舵角が
大きくなるにつれ,机上算出結果とシミュレータ
結果の FTTI の差が大きくなることがわかった.
以上から,高速道路を想定した条件では,簡易式
を用いて机上算出した FTTI が参考値となりうる
が,一般道を想定した低速域へ走行条件を広げる
場合は,シミュレータを活用した確認が必要であ
る. (参考文献 7)を参照)
2. 2. 3 実車での検証
実車検証は,V 字プロセスの最終確認という位
置付けで実施した.実車でも同様に安全機構が正
常に機能することを確認した.
Fig. 4 フェールオペレーショナル確認結果
Table 3 FTTI 比較結果
場所 曲線半径, m 設計車速, km/h 幅員, m 環境 FTTI, s Ta, s Tr, s380 100 3.50 16.80 机上 0.99 0.85 0.14
シミュレータ 1.08 0.85 0.23230 80 3.50 21.90 机上 0.91 0.80 0.11
シミュレータ 1.06 0.85 0.2188 50 3.25 40.60 机上 0.74 0.67 0.07
シミュレータ 1.03 0.74 0.29一般道 15 20 3.50 185.40 机上 0.59 0.56 0.03
シミュレータ 1.23 0.99 0.24
机上:机上算出結果シミュレータ:自動運転シミュレータ結果
高速道路
FTTI算出結果道路条件操舵角, °
Fig. 6 車両挙動確認画面
(曲線半径:380m,設計車速:100km/h,幅員:3.5m)
Fig. 5 自動運転シミュレータの構成図
- -
JARI Research Journal (2019.11)
5
3. センサ認識系を例題とした性能限界安全設計
(基礎研究)
自動運転システムの各機能に性能限界を生じる
と,故障と同様に,あるべき機能が喪失されて人
的な傷害を伴うアクシデントへ至る可能性がある.
通常,故障の発生確率は極めて低いが,周辺環境
(道路構造,周辺車両や歩行者,日照,天候など)
の条件が揃えば,性能限界は頻繁に発生する可能
性がある.様々な走行環境で,各機能に性能限界
が生じても安全性を担保できることが極めて重要
であり,性能限界は必ず起こり得ると考えてシス
テム設計と検証を行う必要がある.本研究での検
討プロセスを Fig. 7 に示す.センサ認識系を例題
に検討して得られた知見や事例の概要を紹介する.
自動運転システムで良く使われるセンサの一般
的な特徴を Table 4 に示す.3 種のセンサ認識系
は,各々,強み(性能限界が高い項目)と弱み(性能
限界が低い項目)があり,全てにおいて他種を上回
るものは現在ないことを前提とした.
3. 1 設計
3. 1. 1 性能限界の洗出しと特徴整理
各種センサ認識系毎に,性能限界とその特徴を
整理した結果(例)を Table 5 に示す.表の縦軸に
は,性能軸を記載しており,基本性能(レンジ,分
解能,周波数など),耐自然環境性などを設定した.
横軸には,評価軸を記載しており,影響度合,発
生状況,限界境特定可否,限界超え判定可否など
を設定した.ただし,本基礎研究では網羅性は追
及していない.例えば,対象物やセンサの汚れや
劣化,マルチパスなどの影響は対象外とした.
検証用ユースケース選定
性能限界を考慮した安全設計コンセプト(仮説)の立案
ユースケースに紐づいた机上検証
ユースケースに紐づいたバーチャル検証
性能限界の洗出しと特徴整理
Fig. 7 性能限界安全設計の検討プロセス(事例)
Table 4 各種のセンサ認識系の特徴比較(例)
△(白黒)
LiDAR
Table 5 性能限界と特徴の整理(例:LiDAR)
- -
JARI Research Journal (2019.11)
6
3. 1. 2 性能限界検証用ユースケースの選定
各種センサ認識系の性能限界を跨ぎ,衝突の可
能性があるシナリオ(動的)の起点となる検証用ユ
ースケース(静的)を,上記の Table 5 で抽出した
性能軸の各々で選定した.結果の一部を Table 6
に示す.
Table 6 性能限界検証用ユースケース選定(例)
3.1.3 性能限界を考慮した安全設計コンセプト
(仮説)の立案
性能限界が生じても安全性を担保するには,性
能限界が異なる異種系を併用した『異種冗長構成』
が対策例になる.3 種冗長系を例題に,3 つの性
能軸で性能限界を面で表すと,Fig. 8 に示す様な
3 つの立方体の重なりでイメージ出来る.例えば,
3 つの立方体が重なった領域は,3 種のセンサ認
識系とも性能限界には至っていない状態である.
Fig. 8 3種異種冗長系の性能限界イメージ(例)
(仮説 1)
認知すべき対象物ごとに「各センサ認識系の性
能限界境界で仕切られた各領域」の何処に「認知
に必要な状態量」が位置するか,つまり,「性能限
界状態量(限界判定の結果)」を把握して,これに
応じて,どのセンサ認識系の認知出力をフュージ
ョン(例:選択や平均化など)すべきか判断する.
(仮説 2)
上述の「性能限界状態量(限界判定の結果)」に
応じて,適切な安全余裕を確保する様に運転計画
(目標車速・目標軌跡)を修正する.但し,本研究
では安全余裕の定式化・定量化は出来ていない.
<運転計画の事例>
・通常モード:
全車載センサ認識系の最大スペックに基づく
・縮退モード:
設定車速の低減,車間距離の拡大,迂回など
・解除モード:
運転交代にドライバが応じない際の自動停車
を含む
- -
JARI Research Journal (2019.11)
7
3. 2 検証
3. 2. 1 机上検証
3.1.2 項で選んだユースケースを起点に,衝突の
可能性があるシーンまでシナリオをコマ送りする.
周辺障害物に対する各センサ認識系の性能限界状
況(限界到達の有無)の推移を推察して課題を洗い
出す.(参考文献 6)を参照)
3. 2. 2 バーチャル検証(仮想空間検証)
センサ認識系の性能限界について,車両レベル
での安全性影響や,安全機構の動作や効果を検証
する手段として「バーチャル評価環境」が有力で
ある.バーチャル評価環境の一例をFig. 9に示す.
センサ認識系に加えて自動運転車モデルも含めた
一気通貫のモデル構成である.本研究の目的を踏
まえて,センサ認識系モデルは,カメラ・LiDAR・
ミリ波レーダの性能限界を模擬できる最低限度の
モデルとした.例えば,周辺障害物のカメラ映像
をレイトレイシング(光線の伝播を物理法則に従
ってシミュレートする手法)により模擬するモデ
ルに加えて,LiDAR レーザ光やミリ波レーダ波の
反射特性を模擬するポリゴンモデル(Fig. 10)も試
験的に組み込んだ.
バーチャル評価環境を使ったシミュレーション
結果の一例を Fig. 11 に示す.単路直進中に,左
前方歩道から歩行者が横断するが正面西日の影響
で歩行者が見え辛くなるシナリオである.前述の
安全設計コンセプト(仮説 1)に沿って設計された
安全機構が作動して,3 種センサ認識系の認知出
力がフュージョンされて,歩行者との衝突がブレ
ーキで回避された.この状況を,異種冗長状態量
(性能限界の判定結果)や認知出力フュージョン値
(Fig. 11 の右グラフ),各種の性能限界判定フラグ
など確認しながら細かく検証できた.なお,前述
の安全設計コンセプト(仮説 2)の検証も行った.
(参考文献 7)を参照)
カメラ検知機能
LIDAR検知機能
ミリ波レーダ検知機能
カメラ認識機能
LIDAR認識機能
ミリ波レーダ認識機能
運転計画※2
(縮退・解除含む)
軌跡・車速追従制御
(加減速+操舵)
シナリオモデル※2
道路地図、自車位置(※1)などの情報
車両モデル
アクセル、ブレーキ、操舵、シフトの操作量自車位置、
速度ベクトル、姿勢など
日照、天候、道路地図などの情報
安全機構
(限界判定・選択
・縮退or解除要求)
各センサ・認識系の検知・認識結果
選択された検知・認識の出力、縮退・解除指示
周辺障害物の位置・種類
天候・日照情報
Fig. 9 バーチャル評価環境の全体構成図(例)
Fig. 10 LiDARセンサモデルの出力例
- -
JARI Research Journal (2019.11)
8
<冗長状態>
<距離>
<水平方位>
<自車速度>
冗長状態を元にフュージョンした値
冗長状態を元にフュージョンした値
性能限界の判定を元に決定
衝突回避のブレーキ制御
横軸:時間[s]
Fig. 11 センサ認識系性能限界のバーチャル検証結果
(例:西日)
4. 操舵系を例題としたミスユース安全設計
(基礎研究)
自動運転の開始と終了,レベル遷移,ドライバ
への権限移譲(テークオーバ),ドライバの運転介
入(オーバーライド)などの際に,ミスユース(誤操
作,誤使用)が要因で,人身傷害に至るアクシデン
トが起こる可能性がある.これを回避する安全設
計が必要である.本基礎研究では,ミスユース安
全設計と検証を質良く効率的に実施出来るように,
Fig.12 に示すような「ミスユース安全設計検討プ
ロセス」を立案してその有効性を検証した.
4. 1 安全分析
ドライバ状態,運行設計領域 Operational
Design Domain(以下,「ODD」という)などの前
提条件を設定した対象システムにおいて,分析対
象となるアクシデント,ハザードを定義し,安全
性分析手法などを利用して,ハザード要因を網羅
的に導出した.その後,導出したハザード要因を
解決する安全要件を定義し,安全要件を満足する
ための課題を抽出した.
条件パラメータの設定
評価環境選定
評価実施
良否判定基準決定
条件パラメータの設定
評価環境選定
評価実施
良否判定基準決定
安全分析
検証課題決定
課題検証シナリオ設定
課題検証シナリオ評価
対策要否判断
対策シナリオ設定
対策シナリオ評価
終了
残検証課題有無有
要対策
無
対策内容検討
課題検証プロセス
対策プロセス
総合判断要対策
A.
B.
C.
C-1.
C-2.
D.
D-1.
D-2.
E.
F.
G.
G-1.
G-2.
H.
H-1.
H-2.
I.
J.
Fig. 12 ミスユース安全設計検討プロセス
- -
JARI Research Journal (2019.11)
9
本研究では,分析手法として STAMP/STPA を
用いて安全分析を行った.この手法には,複雑な
システムにおいても構成要素間の相互作用による
アクシデントの安全解析を網羅的にできる特徴が
ある.その際に使ったコントロールストラクチャ
(分析対象の構造と関係性を表現する図)をFig. 13
に示す. (参考文献 5)を参照)
※情報伝達手段は限定せず,視覚・聴覚・触覚による情報伝達全般を対象※網羅的な検証とするため,詳細な仕様策定はしない.
Fig. 13 コントロールストラクチャ(例)
4. 2 検証課題の設定
4.1 節で抽出された操舵制御系に関するミスユ
ース課題の 1 つを紹介する.ドライバが意図しな
い状態でハンドルに操舵入力を行ってしまい,シ
ステムがオーバーライドされたと判定した場合に
運転モードを切替えてしまう状況が考えられる.
その際,運転モードが手動運転に切り替わったこ
とをドライバが認知していなければ,非安全な状
態に至ってしまうことが懸念される.そのため,
運転者が意図しない運転モードの切り替えを回避
する必要がある.これを課題 A とする.
4. 3 課題検証プロセス
安全要件を侵害する可能性のある課題に対し,
安全か否かを判定する基準を決定する.4.2 節の
課題を例題とした場合,それに関連するハザード
要因を引き起こす誘発要因の一例として,「音や衝
撃に驚いて操舵する」という行動を取り上げた.
さらに,車両の横運動に着目し,判定基準を自車
両が走行している車線を逸脱しないこととした.
次に,良否判定基準を評価するためのシナリオを
設定して各種条件を決定した.自車両が走行車線
を逸脱するまでの時間が最も短い状況を最悪ケー
スとして,Table 7 に示す道路構造令 12)にある高
速道路の最小曲率半径のカーブを走行するシナリ
オを設定した.また,ハンドル操舵力 25N 以上が
0.1 秒継続したときにオーバーライド判定となる
ように設定した.次に,課題検証のための評価環
境を選択する.課題 A を例題とした場合,ドライ
バの操舵入力に体感 G は影響しないこと,最悪シ
ナリオでも安全に実施できることを理由に,Fig.
14 に示すようなドライビングシミュレータ(以下,
「DS」という) を選択した.
Table 7 道路設計値(幅員 3.5m)
Fig. 14 操舵系に特化した DS(例)
Fig. 15 操舵方法
シナリオ評価方法の概要を示す.弊所内の実験
倫理委員会の審議と承認を得て,前述の DS と実
験参加者(2 名:A,B)を用いて,ハンドル操舵力
の特徴を評価した.実験参加者には,Fig. 15 のよ
うに,ハンドルの下部に掌を添え,右上へ向かっ
てハンドルを払うよう動作を指示した.(驚いた時
の動作を想定)
評価結果の例を Fig. 16 に示す.実験参加者 B
- -
JARI Research Journal (2019.11)
10
は,1 回目と 2 回目にオーバーライド判定され車
線逸脱した.一方,3 回目はオーバーライド判定
時間が閾値以下のため,オーバーライド判定はさ
れず車線逸脱に至らなかった.
本事例では,「音や衝撃に驚いて操舵する」という
意図しないオーバーライドの行動に対しては,オ
ーバーライド判定を回避するための対策を施す必
要があると判断した.この後,対策内容の検討と
対策検証を行って検討プロセスの妥当性を確認し
た.(参考文献 7)を参照)
00.2 0.4 0.6 0.8 1.0
25
-25
50
-50
ハンドル操舵力[N]
時間[s]
1回目
2回目
3回目
Fig. 16 実験参加者 Bのハンドル操舵力(例)
5. まとめ
将来的に想定される自動運転システム(レベル
3,および 4)において,故障・性能限界・ミスユ
ースが生じても,安全性を確実に担保するための
設計と検証を,操舵制御系やセンサ認識系を例題
に具体的に検討した.
1)フェールオペレーショナル詳細設計と実証
操舵制御系を例題に,ドライバへ運転権限を委
譲するまで機能を継続可能な(フェールオペレー
ショナルな ) 安全設計とその検証を ISO
26262:2011 に従って行うための具体的な事例と
知見を示した.例えば,安全目標 SG に紐づいた
定量的な要求事項(FTTI関連)を満たしSGを侵害
しないことを検証した.
2)性能限界安全設計(基礎研究)
センサ認識系を例題に,様々な性能軸において
性能限界が生じても安全性を担保できる安全設計
とその検証を行うための具体的な事例と知見を示
した.例えば,「異種冗長構成」や「バーチャル評
価環境」の有効性を検証した.
3)ミスユース安全設計(基礎研究)
操舵制御系を例題に,ミスユース(誤操作・誤使
用)に起因して,自動運転システムとドライバの相
互作用により起こり得るアクシデントを回避する
ための検討プロセスを立案した.幾つかの具体的
な課題でその有効性を検証した.
6. 最後に
本研究で明確にした自動運転システム(レベル
3,および 4)の安全設計と検証に関する知見と事
例は,民間に積極的に活用されることを期待する.
本稿は,研究成果の一端を紹介したに過ぎず,参
考文献に記載した各年度毎の事業報告書や,最終
年度の事業報告書に添付した「自動運転車の安全
設計に関するハンドブック(知見・事例)」や「自
動運転車のユースケース整理体系化(事例集)」を
是非ご参照頂きたい.
最後に,本プロジェクトにご参加頂いた全ての
方々の多大なご協力に感謝いたします.
参考文献
1) National Highway Traffic Safety Administration:
http://www.nhtsa.gov (2015.4.20), " Preliminary
Statement of Policy Concerning Automated
Vehicles"
2) 津川定之:自動運転の未来と課題,自動車技術会
春季大会フォーラムCars that think and communicate
Ⅱ p34-48 (2015)
3) 平成 26 年度次世代高度運転支援システム研究開発・実
証プロジェクト成果報告書,第 3 章 セキュリティ・フ
ェールセーフ技術,一般財団法人日本自動車研究所
http://www.meti.go.jp/meti_lib/report/2015fy/000331
.zip (2015)
4) 平成 27 年度次世代自動運転支援システム研究開発・実
証プロジェクト成果報告書,第 3 編 自動運転システム
安全設計,一般財団法人日本自動車研究所
http://www.meti.go.jp/meti_lib/report/2016fy/000505
.zip (2016)
5) 平成 28 年度スマートモビリティシステム研究開発・実
証事業, 自動バレーパーキングの実証及び高度な自動
走行システムの実現に必要な研究開発 成果報告書,
第 4編 安全設計技術の開発,一般財団法人日本自動車
研究所
http://www.meti.go.jp/meti_lib/report/H28FY/00053
9.pdf (2017)
6) 平成 29 年度高度な自動走行システムの社会実装に向
- -
JARI Research Journal (2019.11)
11
けた研究開発・実証事業 自動バレーパーキングの実証
及び高度な自動走行システムの実現に必要な研究開発
成果報告書,第Ⅲ-A 編セーフティ・セキュリティ技術
評価環境の構築,一般財団法人日本自動車研究所
http://www.meti.go.jp/meti_lib/report/H29FY/00036
2.pdf (2018)
7) 平成 30 年度高度な自動走行システムの社会実装に向
けた研究開発・実証事業 自動バレーパーキングの実証
及び高度な自動走行システムの実現に必要な研究開発
成果報告書,第Ⅲ-A 編セーフティ・セキュリティ技術
評価環境の構築,一般財団法人日本自動車研究所
https://www.meti.go.jp/meti_lib/report/H29FY/0003
62.pdf (2019)
8) 金子貴信,中村英夫:高度運転支援システムにおける
安全アーキテクチャの調査,JARI Research Journal
,JRJ20150607 (2015)
9) 中村英夫,金子貴信:自動運転システム安全設計,
第 2 報 ユースケース及び機能レベル基本アーキテク
チャの研究,JARI Research Journal ,JRJ20161002
(2016)
10) ISO 26262, Road Vehicles Functional Safety (2011)
11) 金子貴信ほか:自動運転システム安全設計,第 3 報 自
動運転システムにおける機能安全コンセプトの事例検
討,JARI Research Journal,JRJ20161003 (2016)
12) 道路構造令の解説と運用,日本道路協会(2015)