ISO/TS 5083:2025 自動運転システムの安全性

  • 2025-10-14

はじめに

近年、自動車業界では自動運転システム(Automated Driving Systems:ADS)の開発と市場投入が急速に進んでいます。自動運転レベル3(以降、L3)やレベル4(以降、L4)といった高度運転自動化の実現に向け、ドライバーが主体の従来の運転支援から、システムが運転の主体を担う領域へと変わりつつあります。

こうした中、ADSの安全性に関する技術仕様書であるISO/TS 5083(Road vehicles — Safety for automated driving systems — Design, verification and validation)」が、2025年4月に発行されました。ISO/TS 5083では、ADSの開発から運用に至るまでの各フェーズにおいて、安全性を確保するための考え方と要件を体系的に整理しています。設計、検証、妥当性確認、そして展開後の運用に至るまで、ADSの安全性を実現するための包括的なガイダンスが示されています。

また、ADSの設計と展開には、サプライヤー、システムインテグレーター、車両OEM、輸送サービスプロバイダー、さらには規制機関など、多様な利害関係者が関与することが想定されます。ISO/TS 5083は、こうした関係者全てが共通の理解の下で活用できるように設計されており、業界全体での安全性の確保と信頼性の向上に貢献することを目的としています。

本稿では、ISO/TS 5083で定義されているもののうち、特に以下の内容について整理します。

  • ISO/TS 5083の概要
  • ISO/TS 5083における安全設計プロセス
  • ISO/TS 5083と各種安全規格との関係性

ISO/TS 5083の概要

ADSの安全性を確保するには、設計から展開までの一連の開発プロセスにおいて、体系的な安全活動が求められます。ISO/TS 5083では、この開発の流れを「安全ライフサイクル」として定義し、関係する条項とのつながりを示しています。

この安全ライフサイクルは、一般的な製品設計、展開のプロセスに沿って構成されており、当該文書内では「Vモデル」として表現されています。Vモデルの左側は製品の設計開発、右側は評価運用を表しています。

実際の開発では、複数のライフサイクルや反復的なプロセスが用いられ、さまざまなコンポーネントやモデルが展開されます(図表1)。

図表1:ISO/TS 5083における安全ライフサイクル

ISO/TS 5083の章立て

2025年4月に正式発行した初版のISO/TS 5083ですが、その文書は別添(Annex)を含め全170ページで構成されています(図表2)。

図表2:ISO/TS5083の文書構成

ISO/TS 5083における安全設計プロセス

ADSの安全設計における主要な構成要素である、安全原則、ODD(Operational Design Domain:運行設計領域)、RAC(Risk Acceptance Criteria:安全基準)、安全要件、設計、検証、妥当性確認、および運用について、体系的に整理した上で解説します。

安全原則(Safety Principles)の定義

安全原則は、設計、運用全体を通して守るべき安全の行動規範です(図表3)。

図表3:安全原則

項目 安全原則の例
システムの安全性
  • 不合理なリスクの抑制
  • 安全要件を満たすことの評価、証明
  • 受動安全性能の維持
  • サイバー攻撃への防御策の実施
運用条件と交通適合
  • ODD作動条件の明示
  • 交通規則、一般行動への適合
  • 新たな衝突リスクの抑制と、他車リスクへの対応
フォールバックとハンドオーバー
  • DDTフォールバック:ODD逸脱、故障時の安全な移行
  • DDTハンドオーバー:ハンドオーバーの安全性評価
  • ユーザー要求への適切な対応
  • 運転モードとドライバー役割の通知
インシデント対応とデータ管理
  • インシデント時の適切行動と情報伝達
  • 事故解析に必要なデータの記録、保護
維持管理と運用監視
  • 保守、修理手順の公開
  • 運用中の安全監視と是正措置
  • 正しい使用方法と制限の明示

ODD(Operational Design Domain:運行設計領域)の定義

ODD定義では、「どこで、どのような条件なら安全に動作できるか」を明確にします。ODDは、地理的条件(高速道路など)、環境条件(昼夜の違いや気温)、交通条件(先行車の有無)、インフラ条件(車線の明瞭さ)などを含みます。ADSはこのODD内でのみ動作するよう設計されており、ODD外では動作を継続できないか、フォールバック(代替操作)が必要になります。

一方、走行中の「見る、判断、操舵、加減速」などの運転操作はDDT(Dynamic Driving Task:動的運転タスク)と呼ばれます。DDTは、ADSが機能している間に実行される運転タスクであり、ADSがDDTを担うか、人間が担うかは自動運転のレベルによって異なります(図表4)。

  • L3 ADS:ADSがDDTを実行しますが、継続不能時には人間がDDTフォールバックを担当します。
  • L4 ADS:ADSがDDTとDDTフォールバックの両方を実行し、必要に応じてMRC(Minimal Risk Condition:最小リスク状態)を達成して安全に停止します。

TJCS(Traffic Jam Chauffeur System:渋滞時運転支援システム)のODD例

  • ADSからの介入要求に応じられること(L3の前提)
  • 該当車両の運転免許を保持していること
  • 高速道路または同等の道路で、先行車が存在すること
  • 歩行者や自転車がいないこと
  • 最高速度は60km/h
  • 車線内での縦、横制御のみ(車線変更なし)
  • 先行車(バイク含む)が必須
  • 工事区間の手前では作動しない
  • 昼間のみ
  • 気温は氷点下以上

図表4:TJCSにおける、ODDとDDTの概念イメージ

RAC(Risk Acceptance Criteria:安全基準)の定義

ADSの安全性を評価する際、RACとして「どれくらい安全なら受け入れ可能か」を定義するもので、設計、検証、妥当性確認の全てで参照します。RACを定義する際には、評価の粒度として、統計的な全体評価と、シナリオ単位のイベントレベルがあります(図表5)。

図表5:RACの主な項目

分類 内容
統計的な全体評価
統計データやベンチマークを用い、事故率や重傷率などを基準化する。
  • 年間の死亡事故率を人間ドライバーと比較
  • ODDや車両タイプに応じた統計モデルを使用
シナリオ単位のイベント評価
クリティカルイベント(例:急減速、カットイン)に対して、ADS挙動を基準化する。
  • レイトカットアウト
  • 先行者急減速
  • ADSの新バージョンと旧バージョンの比較

安全要件と設計

安全要件では「何を前提として安全を定義するか」を定め、設計は「それをどう実現するか」を具体化します。

まず、ユースケースからRACを満たすために必要な条件を明示し、安全要件として検証可能な形で定義します。要件をADSに割り当てるものと、他車両、外部環境、ドライバーなどADS外に前提として割り当てるものを定義します。次に設計では、ADSに割り当てた要件を段階的に精緻化します。必要に応じて機能レベルから技術レベルへ要件を具体化し、下位要件から上位要件を満たすように設計します(図表6)。

図表6:安全要件と設計の関係(例)

検証と妥当性確認

検証では、設計から導出、具体化された安全要件が実装され、ODD全体で正しく機能することを検証します。要素レビューやHILS(Hardware-in-the-Loop Simulation)などの静的、動的テスト、階層型の議論で、要件の完全性と一貫性、正確性を検証します。次に妥当性確認では、機能と外部対策を統合したユースケースに対し、RACに照らして「実際に許容できるリスク水準にあるか」を評価します。具体的には衝突率などの指標を用い安全性を確認します(図表7)。

図表7:検証と妥当性確認の対応関係

ISO/TS 5083と各種安全規格との関係性

ISO/TS 5083は、他規格を適切に参照し、既存規格を補完、統合する規格として位置づけられています。安全性を主張するための構造(安全ケース)を提供し、他の規格はその中で有効な主張や証拠を支えるガイドラインとして活用されます。

規格の分類

ISO/TS 5083では、関連する規格をベース文書、汎用ADS文書、特定ADS文書の3つに分類しています。

ベース文書

ハードウェアやソフトウェアの安全性確保に広く使われる規格です。

  • ISO 26262(機能安全)
    電気、電子システムの故障による危険を対象とし、ASIL(自動車安全性整合レベル)によってリスクを管理します。ISO/TS 5083では、ASILの分解や直接的な適用は行わず、構造的な安全性主張の枠組みとして活用します。
  • ISO 21448(SOTIF)
    意図された機能が正常に動作していても危険が生じる可能性に対応する規格です。既知、未知のシナリオに分類し、リスクを最小化するための分析、検証、妥当性確認の枠組みを提供します。
  • ISO/SAE 21434(サイバーセキュリティー)
    不正アクセスや攻撃によるリスクに対応する規格です。ADSにおいても、サイバー攻撃が安全性に影響を与える可能性があるため、ISO/SAE 21434の活動が適用されます。特に、複数車両への同時攻撃など、ADS特有のリスクにも対応する必要があります。

汎用ADS文書

ADSの設計、評価、運用において、全ての自動運転機能に共通して適用可能な基本的枠組みを提供します。

  • ISO/SAE PAS 22736(自動運転レベルの定義と分類)
  • ISO 23793-1(ADSの安全性評価に関するガイドライン)
  • ISO/TR 21934-1(自動運転におけるリスク評価と安全設計の考え方)

特定ADS文書

特定のADS機能や技術領域に限定して適用されるものです。より詳細な設計や検証が求められる場面で活用されます。

  • ISO 23374-1(特定の運転支援機能に関する設計指針)
  • ISO 23792-1(特定の運用条件下での安全性評価手法)

まとめ

本稿では、ISO/TS 5083の文書構成を概観し、特徴的な要素である安全原則、ODD定義、RAC、安全要件と設計、検証、妥当性確認、運用の流れについて解説しました。特に、RACを起点に安全要件を定義し、設計、検証、妥当性確認を通じて一貫性を確保するプロセスは、ISO/TS 5083の中核的な考え方です。また、運用フェーズにおける監視、変更管理、保全の仕組みも、継続的な安全保証に不可欠であることが示されました。

さらに、ISO/TS 5083は単独で完結するものではなく、ISO 26262(機能安全)やISO 21448(SOTIF)など既存の安全規格との整合性が求められます。加えて、関連する法規や標準文書への対応も不可欠であり、自動運転システムの開発においては、これらを包括的に捉えた安全保証プロセスの構築が重要です(図表8)。

図表8:関連する代表的な法規および標準文書

執筆者

渡邉 伸一郎

ディレクター, PwCコンサルティング合同会社

Email

糸田 周平

シニアマネージャー, PwCコンサルティング合同会社

Email

小倉 啓輔

マネージャー, PwCコンサルティング合同会社

Email

藤崎 勝也

シニアアソシエイト, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

本ページに関するお問い合わせ

関連サービス