Connected Dependability Cage：安全な自動運転車の開発・運用における実行時機能監視と異常監視

Abstract

自動運転の進展は、特にAIを有効に活用した知覚システムが確実に動作しなければならない、動的かつ予測不能な環境において、複雑な安全上の課題をもたらします。ISO 26262やISO/PAS 21448（SOTIF）といった安全基準への適合を確実にすることは、システムの不具合に対処し、未知の状況における危険な挙動を抑制するために不可欠です。しかし、自動化のレベルが上がるにつれ、車両は従来の機能安全を超えて、システムまたはコンポーネントの故障時にも安全な運用を継続し、さらに慣れない、あるいは劣化した運用条件を扱えるフェイル・オペレーショナル（fail-operational）能力を取り入れる必要があります。これらの安全上の懸念に対処するため、我々はConnected Dependability Cage（連結信頼性ケージ）を提案します。これは、AIを有効に活用した知覚システムにおいて階層的なフェイル・オペレーショナル挙動を可能にすることを目的とした建築（アーキテクチャ）的枠組みです。この枠組みは、相補的な2つの監視メカニズムを統合します。すなわち、複数の異種のAIベース知覚パイプラインを監督し、投票メカニズムによって不一致を検出するFunction Monitor（機能モニタ）と、学習データセットから除外され得るシーン内の未知または新規の物体を検出することで、AI知覚の信頼性を評価するAnomaly Monitor（異常モニタ）です。重大な不一致が存在する場合、システムは円滑な劣化（グレースフル・デグレデーション）をサポートし、最終的に最小リスクの操縦（マニューバ）戦略への移行を可能にします。さらに、いずれかのモニタが安全フラグを立てた場合には、自動化されたデータ記録プロセスが開始され、反復的なシステム開発と継続的な改善を促進します。これら2つのモニタは、広範な車両テストを通じて実装および検証されており、現実世界の応用における実用的な有効性が示されています。