製造業の未来を切り開くエンジニアリングチェーンのDX
日立製作所のリーダ主任研究員 長野岳彦氏と主任技師 大石晴樹氏、PwCコンサルティングのシニアマネージャー佐藤 涼太が、設計開発領域の変革に取り組む理由、変革ポイント、活動推進における課題について議論しました。
はじめに
近年、自動車業界においてもAI技術の革新が進んでいます。例えば、対話型AI音声アシスタント、先進運転支援システムにおけるAIによる判断、制御など、AIの量産向けの車両への導入がすでに広がっています。
また、今後は市場投入後も機能を更新し続けることで、ユーザーに新たな価値および体験を提供し続けることが期待されるSDV(Software Defined Vehicle)においても、AIの活用が進むと考えられます。車両がドライバーのニーズを的確に理解し販売後も機能・パラメータを更新・最適化提案する機能の実現や、それらのシステムの設計・開発プロセスにおいてAIを活用して効率的かつ効果的に自動車/車載システムを機能向上していく仕組みの構築など、車両および車両開発におけるAI活用が大きく注目されています。
これから自動車/車載システム開発へのAI導入はますます加速することが想定されますが、一方で、高い安全性が常に求められる車載システム開発において、機械学習モデルなどのAI関連情報を含めた設計情報を適切に管理・運用し、どのように安全性を担保し続けるかが大きな課題となっています。
こうした中、ISOは新たな安全規格となるISO/PAS 8800 Safety and artificial intelligence(安全性と人工知能)を2024年12月13日に発行しました。ISO/PAS 8800はAI技術を使用する安全関連システムに適用され、特に量産車両に搭載される電気/電子(E/E)システムにおけるAIシステムの使用方法に関するガイダンスを提供しており、ISO 26262やISO 21448などの安全規格で規定される管理アプローチを調整あるいは拡張することでAI安全管理のフレームワークを定義しています。
本稿では、ISO/PAS 8800で定義されるAI安全管理のフレームワークに関し、特に以下の内容について整理します。
- ISO/PAS 8800の概要
- ISO/PAS 8800と各種安全規格との関係性
- 量産向け車載システム開発におけるAI適用の主な課題と対策
ISO/PAS 8800:2024の概要
先述したように、ISO/PAS 8800はAI技術を使用する安全関連システムに適用され、特に量産車両に搭載される電気/電子(E/E)システムにおけるAIシステムの使用方法のガイダンスを提供しています。
具体的には、「AI安全ライフサイクル参照モデル」を定義しており、AIシステムに割り当てられる安全要件の導出から、AIシステムの設計および検証・妥当性確認、安全保証論証の評価、市場展開(デプロイ)後・運用における安全対策といった各フェーズのプロセスを繰り返し実行し作業成果物を記録することや、それらの全フェーズを通じた継続的な安全討議の実施、使用するプロセス・ツールの信頼性分析・改善といった内容に関しても一般的な要件やその前提条件などを定義しています(図表1-1)。
図表1-1: AI安全ライフサイクル参照モデル
ISO/PAS 8800:2024の章立て
2024年12月に正式発行した初版の ISO/PAS 8800:2024の文書は、別添(Annex)を含め全172ページで構成されています(図表1-2)。
図表1-2: ISO/PAS 8800:2024の章立て
主な要件は、先述した「AI安全ライフサイクル参照モデル」の定義を含む7章の「AI安全管理」、8章の「AIシステムの保証論証」、9章の「AI安全要件の導出」、10章の「AI技術、アーキテクチャ、および開発手段の選択」、11章の「データに関連する考慮事項」、12章の「AIシステムの検証と妥当性確認」、13章の「AIシステムの安全分析」、14章の「運用中の対策」、15章の「AIモデル開発に使用されるAI開発フレームワークおよびソフトウェアツールの使用に関する信頼性」に記載されています。また、別添(Annex)はAからFまでの8文書あります。
反復的なプロセス:「AI安全ライフサイクル参照モデル」におけるAIシステム開発活動
本文の7章では、AIシステムの開発、検証、運用に関する活動をカバーするライフサイクルとして、「AI安全ライフサイクル参照モデル」が定義され、特にAIシステム開発活動に関してはAIシステム設計と検証および妥当性確認フェーズの詳細図が示されています(図表2)。ここでは8章~13章で規定される各フェーズを通じて、安全要件および関連する安全特性に関して十分なレベルのパフォーマンスが実証され、関連する作業成果物が生成されるまで、反復的にプロセスが実行されることが示されています。この反復プロセスの本質的な特徴は、AIシステムあるいはAIシステムを構成するAIモデルもしくはAIモデルを含むAIコンポーネントの潜在的な機能不足や、その根本原因、および安全性への影響を特定するための分析の実行であり、これを通じて機能不足を解消するための適切な対策の実装や、エラーによる影響を低減することを目指します。
図表2: AI安全ライフサイクル参照モデルにおける「AIシステム設計と検証&妥当性確認」詳細
ISO/PAS 8800と安全規格との関係
ISO 26262およびISO/PAS 8800の適用対象の区別
ISO 26262シリーズはシステムの故障に起因する危険事象の発生を防止することを目的とした安全規格ですが、ISO/PAS 8800はISO 26262シリーズと組み合わせて適用されることが意図されています。
図表3に示すように、ISO/PAS 8800は、AIシステム(1つ以上のAIモデルを使用するアイテムまたはその要素)の安全性に焦点を当てたうえで、ISO 26262で定義されるアイテム(車両レベルの機能)を構成する「AIシステム」および、AIシステムを構成する「AIモデルもしくはAIモデルを含むAIコンポーネント」を適用対象としています。一方、「非AIシステムおよびそのエレメント」や、「AIモデルではないもしくはAIモデルを含まないAIコンポーネント」に関しては既存のISO 26262シリーズを適用するよう区別されています(図表3)。また、特に機械学習(ML:Machine Learning)におけるISO 26262適用に関してはAnnex C:「MLのためのISO 26262ギャップ分析」にMLを用いたシステムの安全性を確保するための追加的なガイダンス/推奨事項が記載されています。本文から直接的な参照はありませんが、機械学習に関しては車載ソフトウェア開発における体系的アプローチおよびアセスメントモデルを定義したAutomotive-SPICEバージョン4.0のプロセス参照モデルにも「MLE:機械学習エンジニアリングプロセス」として要件が追加されており、AIシステムの開発・運用においてはこれらを組み合わせて適用することで、より安全性の高いシステムの実現が期待されます。
図表3:ISO 26262および ISO/PAS 8800の適用対象の区別
各種安全規格における因果関係チェーンに関する用語のマッピング
ISO 26262とは別に、2022年に発行したISO 21448 SOTIF(Safety of the intended functionality:意図した機能の安全性)は、システムの故障がない状態における危険事象の発生を防ぐことを目的としており、ISO 26262を補完する安全規格と位置づけられます。ISO/PAS 8800では、これらISO 21448/ISO 26262で示されるハザード(危害になり得る原因)発生に至るまでの因果関係チェーンにおける各種用語のマッピングを示すとともに、AIシステムにおけるエラーの概念、故障モデルおよび因果モデルを示しています(図表4)。
「AIトリガー条件」は、機能不全あるいは欠陥に繋がり、その結果「寄与AIエラー」あるいは「AIエラー」を引き起こします。「車両レベルでの望ましくない安全関連動作」は、ISO 21448/ISO 26262でそれぞれ定義される「RFIM防止問題(Reasonably Foreseeable Indirect Misuse:合理的に予見可能な間接的誤用)」、「車両レベルでの危険な動作」あるいは「ハザードを起こす誤動作」を総称する用語として使用されます。
図表4:因果関係チェーンにおけるISO 21448およびISO 26262シリーズとISO/PAS 8800の用語対応
AIシステムの保証論証と実開発での課題
ISO/PAS 8800では、「AI安全ライフサイクル参照モデル」で示されるように、AIシステムの開発から運用まで各フェーズにおけるガイドラインが記載されていますが、なかでもAIシステムの安全性をどのように保証するのかは大きなポイントです。ISO/PAS 8800の文書構成を見ると、7章で全体のライフサイクルを定義したうえで、各フェーズの要件について8章以降で説明していく流れとなっていますが、最初に取り上げられるのが「AIシステムの保証論証」となっています。本項では8章の内容に絞ってポイントを要約するとともに、実際のAIシステム開発時における課題について考察します。
8章の目的は、
- AIシステムに割り当てられた安全要件が満たされていることを証明する保証論の展開
- 保証論が、AIシステムが安全要件に違反する実際の残留リスクを反映しているかどうかの評価
となっています。
これら目的達成のため、8.3項においてはAIシステムの保証論証における「一般要件」が3点にわたって規定されています。
- AIシステムに割り当てられる安全要件の満足についての保証論を提供する
- 保証論は、保証の主張を裏付けるためにAI安全ライフサイクル中に生成された関連作業成果物を使用する
- 7.3.4項(AI安全の管理を目的に調整されたISO 26262-2で説明される各アクティビティ)の確認措置を保証論に適用する
これら一般要件の記載に続く8.4項以降では、AIシステムの特有の検討事項(例えば、AI安全要件の策定時に、発生確率の形式で表現される定量的な特性に対する保証方法やエビデンスの有効性に関して追加的な要件が求められ得ることや、AIシステムの検証時に、訓練データやテストデータセットの選択プロセスがシステムの安全性の実現をどのように支援するかの論証が求められ得ることなど)の整理や、AI安全ライフサイクルの中で作成される作業成果物(エビデンス)分類などを含めたAIシステム保証論の構造化、定量的目標と定性的論証の役割および保証論そのものの評価についても記載されており、AIシステムの安全性を保証する際の透明性・信頼性向上のためのガイドラインや事例が示されています。
これらを踏まえると、AIモデルを含んだシステム開発(AIシステム開発)においては、従前までの一般的なシステム開発における基本的な対応(要件定義~開発・妥当性評価プロセスにおける各種取り組み)だけでなく、AIシステム特有の検討観点を考慮した安全要件の追加策定や適切な評価手法を取り入れていく必要があることが分かります。市場リリース後にも学習・機能向上することが想定されるAIを含んだシステム(包含システム)において、システム全体におけるAIシステムの機能的役割・技術的なコンテキストや、使用する各種データの特性・傾向、さらにはシステムを適切に評価するための条件や手法(有効な検証方法)など、開発を含むライフサイクルを通じた一連の情報を確実に管理し、製品・システムの安全性を継続的に向上し続ける仕組み・運用の構築が課題になると考えられます。
まとめ
本稿では、ISO/PAS 8800の文書構成や既存の安全規格(ISO 26262, ISO 21448)との関連性について概要を整理するとともに、特徴的な章である7章の「AI安全管理」および8章の「AIシステムの保証論」について紹介し、AIシステム開発における課題について考察しました。上記で述べた課題のほか、図表5で示すとおり、自動車システムの開発においては、本稿で取り上げたISO 26262やISO 21448の安全規格のみならず、関連する法規や標準文書への対応も必要となるため、包括的な視点から取り組むことが求められます。
図表5:関連する代表的な法規および標準文書
インサイト/ニュース
20 results
Loading...
ISO/PAS 8800:2024―Safety and artificial intelligence 安全性と人工知能―量産向け自動車開発へのAI適用
近年、自動車業界においてもAI技術の革新が進んでいます。 新たな安全規格となるISO/PAS 8800の文書構成や既存の安全規格(ISO 26262, ISO 21448)との関連性について概要を整理するとともに、AI安全管理およびAIシステムの保証論証について紹介し、AIシステム開発における課題について考察します。
日本の強みを生かした新産業創造の必要性(前編) 採るべき戦略はマルチパスウェイ。多様化するエネルギー利用のなかで、水素エンジンが持つ役割とは
京都大学の塩路昌宏名誉教授と、国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)、水素小型モビリティ・エンジン研究組合(HySE)の担当者をお招きし、水素社会実現に向けた内燃機関やマルチパスウェイの重要性について議論しました。
日本の強みを生かした新産業創造の必要性(後編) 国内二輪車メーカー4社が、水素エンジンの技術研究組合を組成。見据えるのは、産官学・サプライヤーとの連携
京都大学の塩路昌宏名誉教授と、国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)、水素小型モビリティ・エンジン研究組合(HySE)の担当者をお招きし、産官学連携での水素エンジンの研究開発の重要性と、具体的な課題について議論しました。
Loading...
