Abstract

自動運転システムの実用化に向け，社会が受容するに値する安全性をいかに確保するかがシステム製作者に対して問われている．その問いに答えるべく，一般社団法人日本自動車工業会（JAMA）では日本の自動車産業界のベストプラクティスをフレームワークとして文書にまとめて公開している．2022年に最新版であるVer.3が公開され，その内容はシナリオベースの安全性評価の国際標準や国際基準の策定に積極的にインプットされている．国際的な議論を継続してリードすることの意義は非常に大きいため，本稿では将来的なVer.4更新に向けた課題を特定するため，現状の内容が安全論証構造として必要十分なものであるかを分析した結果について述べる．

1. はじめに

さまざまな社会課題の解決が期待されている自動運転システムの実用化に向け，社会が受容するに値する安全性をいかに確保するかがシステム製作者に対して問われている^{1), 2)}．その問いに答えるべく，一般社団法人日本自動車工業会（JAMA）では日本の自動車産業界のベストプラクティス（最大限の努力）を自動運転の安全性評価フレームワーク（ADSEF：Automated Driving System Evaluation Framework）として文書にまとめて公開している．2022年12月に最新版であるVer.3が公開され³⁾，その内容はシナリオベースの安全性評価の国際標準（ISO 34502）⁴⁾ や国際基準（UN-R157）⁵⁾ の策定に積極的にインプットされた経緯がある．今後も引き続いて国際的な議論をリードすることは日本の自動車産業の振興にとって意義は大きく，そのためには国際連携・協調に向けた場で日本のプレゼンスを高めておくことが不可欠である．Ver.3が2022年12月に公表されてから約2年経過するため，その間に得られた日本の安全性評価手法・手段に関する成果に基づいて更新する必要がある．ここで，Ver.1のフレームワークを作成した当時の状況をふりかえると，国際標準・基準の議論にいち早く対応することを重視したため，記載内容の論理展開・構成に十分な時間が割けなかった側面があったと推察される．

ただし，海外勢の取り組みに着目すると，ドイツにおいて自動運転の安全性評価手法を開発するPEGASUSプロジェクト後継のVVMプロジェクト⁶⁾，北米で大規模にロボットタクシー事業を展開しているWaymo⁷⁾ が「自動運転システムに不合理なリスクがないこと」を主張するための安全論証構造を提示している．彼らと議論するための日本としての拠り所が必要であり，次回のアップデートの主要な項目として安全論証構造に関する内容を含めることが重要であると考えられる．

そこで，本稿ではJAMAのADSEF Ver.3.0に記載されている内容が安全論証構造を構築するために必要十分な内容になっているかを分析した結果と，今後のアップデートに向けて改良が必要な課題について述べる．なお，今後の国際的な議論をリードすることを見据えて論証構造を分析する対象はADSEFの英語版⁸⁾とした．

2. 自動運転の安全性評価フレームワークの安全論証構造の分析方法

2.1 安全性評価フレームワークの概要

自動運転システムの安全性評価・保証に向けたさまざまなアプローチの一つとして，JAMAが発行するADSEFがある．ADSEFのVer.1が2020年に発行されて以降，2022年には現時点の最新版であるVer.3が発行されている．図1はADSEFの変遷を示しているが，ADSEFの内容を国際標準および国際基準の議論の場へ日本案として提案を行い，ISO34502（シナリオに基づく安全性評価フレームワーク）やUNR157（高速道路等における運行時に車両を車線内に保持する機能を有する自動運行装置に係る協定規則）に反映された．一方，2022年のVer.3発行からこれまでに約2年が経過しており，その間の国連WP29から今後の国際基準策定に向けたガイドラインドキュメント⁹⁾ が合意に至ったことなどを踏まえると，昨今の国内外の動向に対応できるようなアップデートが必要な時機である．

図1 自動運転の安全性評価フレームワーク（ADSEF）の変遷 （2020年～）

表1は，ADSEF（Ver.3）の章立てを示している．本文は5章で構成されており，主に2章が示す安全論証構造を3章／4章／5章とAnnex（A～G）に記述された内容によって実現できることを主張している．今回の分析はADSEF本体とし，Annexは対象から外している．

表1 ADSEF（Ver.3）の記載内容の一覧

【ADSEF本体】 1章 本稿の位置づけ 2章 自動運転システム安全論証構造 　　 原理原則に基づくシナリオベースアプローチなど 3章 シナリオベースの安全保証プロセス 　　 安全保証のスキーム（V字モデルのステップ） 4章 シナリオ体系 　　 交通外乱シナリオ，認識外乱シナリオ，車両運動 外乱シナリオの考え方など 5章 シナリオデータベース 構造，フォーマット，インタフェースなど	【ADSEF Annexes】 Annex A 道路形状 Annex B 二輪車特有のシナリオ Annex C 交通外乱の複雑なシナリオへのアプローチ Annex D 事故データに基づくシナリオデータベース 完全性検証 Annex E 認識外乱の原理モデルと評価シナリオ Annex F 認識外乱評価用仮想環境の妥当性検証ガイド ライン Annex G 協定規則第157号に係るシミュレーションツールの妥当性確認/シミュレーション試験方法

2.2 Goal Structuring Notation記法に基づく論証構造分析

本稿では，Goal Structuring Notation（GSN：ゴール構造表記法）¹⁰⁾ を用いてADSEFの安全論証構造を分析した．GSNを用いる理由は，GSNは議論の構成要素（ゴール，ソリューション，文脈など）とそれらの関係性を明確に記述することで議論をグラフィカルに表記できるためである．GSNで記述した議論は，セーフティケース（安全性を示すテスト結果や検証結果を根拠資料としてシステムが安全であることに関する構造化された議論）¹¹⁾ の作成に活用できる．

セーフティケースは，安全性がどう保証されるかを構造化された議論で示すもので，鉄道や航空機などのさまざまな分野で義務化されている．自動車業界でも車載組込みシステムの機能安全規格であるISO 26262のなかで，安全ゴールと機能安全要件の定義のためにGSNを活用している．

GSNではゴールをどのように満たすのかについて，階層的に下位のゴールに分割し，それ以上分割できないゴールには根拠となるソリューションを示す．ADSEFに記載されている内容をGSN の形で安全論証を表記するために図2に示すような構成要素を用いた．GSN が提供する，ゴール（Goal），戦略（Strategy），文脈（Context）， 仮定（Assumption），正当性の根拠（Justification），ソリューション（Solution），未達成（Undeveloped）という構成要素を用いる．論証としてはトップゴール（主張すべき言明）から演繹的に始まり，証跡（論証を支持する根拠資料，データ）に至る構造を持つ．さらに，文脈（論証する前提となる情報）と戦略（どのような戦略で論証するかの説明）が利用される．

ADSEF の安全論証の体系を構築するために採用した分析方法は，以下の通りである．筆者らは分析者としてADSEF の説明文のGSNの構成要素に基づいて分析・分解し，安全論証の構造に関連する情報を抽出した．抽出した情報を GSN図として関係性を整理することによって論証構造を組み立てた．これにより，現状のADSEFの記述内容をどのような根拠・どのような判断に基づいて，分析・抽出・論証構造の組み立てを行ったかの過程を示すことができる．

図2 GSNによる安全論証構造の構成要素

GSNを用いて自社が開発する自動運転システムの安全性を説明するセーフティケースを公表した事例として米国のAurora社の例¹²⁾ が挙げられる．Auroraは米国国防高等研究計画局（DARPA）主催のロボットカーレースであるDARPAアーバンチャレンジ優勝チームのテクノロジーディレクターを務めたChris Urmson氏が2016年に立ち上げた企業である．また，Auroraは2023年5月にドイツサプライヤー大手のコンチネンタルと提携し，トラック運送業界向けの自動運転システム（Aurora Driver）の設計・開発・検証・提供・サービスを米国全土で展開することを目指している．

図3は，Auroraが公開しているSafety Case Frameworkであるが，「Auroraの自動運転は公道走行が受け入れられるレベルで安全である」をトップゴールとして定めてGSNを用いて論証するにあたり，トップゴールを以下の5つのサブゴールに分けている．

•    G1:Proficient（意図した通りの動作の安全性の論証）
•    G2:Fail-safe（安全分析に関する論証）
•    G3:Continuously improving（運用における改善の論証）
•    G4:Resilient（ミスユース／サイバーセキュリティの論証）
•    G5:Trustworthy（規格への準拠，レビュー方式の論証）

上記の各サブゴールを論証できるように根拠となるデータや資料を構造化している．

図3 Aurora社のSafety Case Framework

3. 自動運転の安全性評価フレームワーク（Ver.3）の分析結果

3.1 安全論証構造の分析

(1) 説明文に基づく構成要素の抽出事例

ここでは，ADSEF の英語版を対象として，その内容が安全論証構造を構築するために必要十分であるかを分析するが，英語での説明が不明確な場合や不足している場合には，ADSEFの日本語版を含めてさまざまな関連文献を参照することとした．解釈にあたっては原典になるべく忠実に行うことを原則としたが，説明が不足している点などによって独自の解釈をせざるを得ない箇所があった．独自の解釈も含めて得られた分析結果に基づいて，安全論証のための構成要素（Goal，Context，Assumption，Strategy，Solution）を抽出した．

分析の例を表2に示す．本例は，ADSEFの2.3.5章のSafety evaluation method for vehicle disturbance（車両運動外乱の安全性判定手法）に関する箇所である．まず ADSEF のテキスト部分から Goal として(Goal #2.3.5-1) が抽出されている．このゴールをサブゴールに展開することが可能なStrategyとして(Strategy #2.3.5-1)が筆者らによって抽出され，さらに詳細なGoal (Goal #2.3.5-1-1)が抽出されている．この説明文は，Goal，Strategy，Sub-goalの関係が直接的に抽出できた点で良い事例といえるが，その他の説明文からは関係が直接的に抽出できない場合が多く，分析できたとしても GSN の論証構造にするためには，分析者の意訳を付け加えるなどの調整が必要であった．

表2 ADSEFからの論証構造の分析例

[ADSEF説明文] 2.3.5 Safety evaluation method for vehicle disturbance
As shown in Figure 6, ‘collisions must be avoided in any of the traffic disturbance scenarios, even when experiencing vehicle disturbance.’ In the current standards, the collision avoidance strategy under the foreseeable and avoidable scenarios and collision mitigation strategies for predictable but unavoidable scenarios are of particular consideration. Henceforth, when a vehicle behaviour changes because of a vehicle disturbance within the scope of avoidable conditions, the AD vehicle is required to possess a controllability that can stabilize the vehicle without halting driving. However, when these disturbances cause instability that cannot be avoided, the AD vehicle must adapt to the ‘best effort’ strategy to mitigate the possible collision.
[構成要素の抽出結果]
Vehicle disturbance に関するトップゴールとして以下を設定． 他のゴール（G #2.3.3-1, G #2.3.4-1）と同等の表現として記述． (Goal #2.3.5-1) All safety risks associated with the operation DDT sub-task are identified and systematized through vehicle motion disturbance scenarios. 上記のゴールは，オリジナルの文章を利用すると，以下になる． Collisions must be avoided in any of the traffic disturbance scenarios, even when experiencing vehicle disturbance. (Strategy #2.3.5-1) Argue all supporting rationales related to vehicle motion disturbance scenarios. vehicle disturbance に関する安全基準 以下の G #2.3.5-1-1 と G#2.3.5-1-2 はゴールとしたが，継続する論証は抽出できなかった． Preventable エリアのケース (Goal #2.3.5-1-1) When a vehicle behaviour changes because of a vehicle disturbance within the scope of avoidable conditions, the AD vehicle is required to possess a controllability that can stabilize the vehicle without halting driving. Unpreventableのエリアのケース (Goal #2.3.5-1-2) When the disturbances cause instability that cannot be avoided, the AD vehicle must adapt to the ‘best effort’ strategy to mitigate the possible collision.

表2に示した抽出された構成要素に基づいて，図4のようなGSN図を作成した．自動運転システムにとって全てのリスク要因を特定し，車両運動外乱シナリオによって体系化するというゴールに対して，体系化したことを説明するエビデンスによって論証する戦略を立てる．この戦略にしたがってPreventable（防止可能）エリアのケースは，車両外乱によって車両の挙動が変化しても車両を安定させることができる制御を実行できることが要求される．一方，Unpreventable（防止不可能）なエリアのケースは，車両外乱によって回避できないほどの不安定性が生じたことに対して衝突の可能性を軽減するためのベストプラクティスを実行することが要求される．ただし，現状のADSEFの説明文からこれ以上の論証を継続する要素は抽出されなかったため，GSN図はここで論証終了となった．

図4 ADSEFの2.3.5項の説明文から抽出・分析した論証構造の例（GSN図）

(2) GSN図を作成するために抽出した要素の分類

ADSEFの記載内容に基づいてGSN 図作成用の構成要素を抽出する作業はかなり複雑であった．ADSEFの解釈については可能な限り原文に忠実に行ったが，直接の解釈が難しい箇所が多く含まれた．したがって，GSN図作成用の構成要素を抽出するために，記載内容に新たな解釈を追加した箇所も多くなった．GSN図を作成するための構成要素には，忠実に抽出できたもの，新たな解釈を追加したもの，該当する記載のなかったものが混在している．そこで，図5に示すように構成要素の特徴に応じた分類を設け，GSN図のどの箇所がどのような解釈に従ったかを明示するようにした．

1) 忠実に解釈（黄色）

2) 説明文に課題がある場合の意訳（青色）

3) 説明が無いが，図などの他情報から追記（赤色）

4) 記載が無いが，安全論証の構造上必要と判断し追記（緑色）

　このように分類することによって，作成されたGSN図が忠実に解釈された要素で構成されているのか，意訳や新たな解釈が含まれた要素で構成されているのかをはっきり区別できる．

図5 記述内容の種類

また，GSN による論証構造では，ソリューション を記述することで論証が終了することが一般的であるが，そのような論証構造に至らなかった箇所が該当した．そのため，論証が終了していることを明記するために，コメント（テキストを記述するモデル要素を利用）として，「論証終了」というマーカーを GSN 図に記述するようにしているた．なお，このマーカーはGSN図の構文には表れないもので，今回の分析で独自に追加したものであることには注意が必要である．

図6 論証終了マーカー

3.2 ADSEFの分析結果に基づく安全論証のGSN全体図

図7は，分析対象であるADSEF，その記載内容に基づいて分析した結果，分析結果に基づいて作成したGSN全体図の関係を示している．(1) のADSEFに記載されている説明文・図表を分析対象とし，(2) 説明文・図表の原文と分析によって抽出された構成要素の関係を示す表を作成し，(3) 抽出された構成要素の関係性に基づいて安全論証構造を示すGSN全体図を作成した．この全体図がVer.3のADSEFの安全論証の全体像を示すGSN図として今回の作業を通じて作成された成果物である．前述したように，Ver.3のADSEFは本文が5章，7つのAnnexによって構成されており，今回分析した本文は約90ページにわたる膨大な情報が記載されたドキュメントから作成したGSN全体図も広範囲にわたるものとなった．

図7のGSN全体図は忠実に抽出された要素とそれ以外の要素が混在して構成されており，この図を俯瞰することによって現状のADSEFの安全論証構造の課題を把握できる．例えば，分析者の意訳や解釈の追加によって抽出された構成要素については説明文を改訂することが必要であり，該当する記載がない構成要素については説明文を新たに追記することが必要であり，論証終了マーカーが記述されている箇所についてはゴールが達成できていることを示す証拠であるソリューションにあたる内容を用意することが必要である．

(1) 分析対象：ADSEF（Ver.3）英語版

(2) 構成要素の抽出：ADSEFの説明文の分析結果

(3) ADSEF　GSN全体図

図7 ADSEF GSN全体図

図8が示すようにAurora社の安全論証のサブゴール1であるG1（Proficient）のGSNのみを展開した場合でも広範囲になる．G2～G5のサブゴールも展開するとさらに大きな論証構造図になる．なお，Aurora社のGSN図はソリューションを省略したバージョンのみ公開している点に留意が必要である．

図8 Aurora GSN全体図（G1: Proficientのみ論証構造を展開）

図9は，図7に示したGSN全体図とADSEFの記述内容の対応関係を示したものである．ADSEFの安全原則をトップゴールにし，安全性評価範囲・WP29の安全要件・安全性判定手法・安全保証のスキーム・シナリオ体系の関係性をまとめた．このうち，代表的な部分に関する論証構造として，図9の(a) 安全原則と(b) 安全性評価範囲の部分について説明する．

図9 GSN図とADSEFの記述内容の対応関係

(a) 安全原則：Overview of ‘Physics Principles Approach Process’ （Safety Principle）

ADSEFの安全論証のトップゴール構造においては，国連WP29のフレームワークドキュメントがADS（車両レベル）に求める安全ゴールをADSEFの安全原理，安全性評価方法，開発プロセス，シナリオ構築方法によって満足することを述べている（図10）．これらの構造の構成要素は，いずれもADSEFの説明文から抽出できている．

図10 ADSEFの安全論証のトップゴール構造（安全原則）

(b) 安全性評価範囲： Overview of ‘Physics Principles Approach Process’（Evaluation Scope SufficiencyとExplainability in Emergency）

2.2 節においては，Evaluation scope sufficiency（評価の十分性）とExplainability in emergency（危険事象の説明性）を保証する必要があることを主張しているが，これらを保証する・しないに関する判断基準の記載は見当たらなかった．これらの判断基準はPhysical principles approach process（原理原則に基づくアプローチ）の対極として2.2節で述べられている．また，論証構造の終点として求められるソリューションが見当たらないため，論証が終了しているマーカーを付けている（図11）．

図11を参照すると，ADSEFを改訂する場合には評価の十分性と危険事象の説明性を保証したことを論証するためのサブゴールの設定と論証できたことを示す証拠の記述が必要と分かる．

図11 “evaluation scope sufficiency” と “explainability in emergency”の論証構造

このように，現状のADSEFの説明文・図表に基づいて組み立てた安全論証構造が完結しない箇所が多く確認され，完結するためには説明文の改訂が必要である．さらに，図7のGSN全体図のなかでも意訳・解釈・記載なしといった箇所も多く見られたことより，現状の記述を改良することだけでなく，新規に追記することも求められる．

3.3 分析結果まとめ

本稿では，ADSEF（Ver.3）の記載内容が安全論証構造を構築するために必要十分な内容になっているかという視点で分析を行い，分析結果に基づいて安全論証構造の全体像をGSN図として構築した．その結果，GSNの構成要素が直接的に抽出できた部分と，意訳や解釈が必要であったり説明文がなかったりする部分に分けられた．とりわけ，安全論証の終了に必要となるソリューションの記述が見当たらない箇所が多く該当存在したため，筆者らの分析時に意訳や新たな解釈の追加を行った．これらはADSEFを安全論証構造という観点で分析をしたことによって明らかになった課題であり，今後の更新をする場合には通常の安全規格のように成果物を明示的に記述することが必要である．

安全論証構造を構築するにあたって公開済みのADSEFの説明文と図を分析し，そこからGSNの表記法にしたがって論証構造に組み立てる手法を採用した．このように特定の資料から安全論証を組み立てる方法論は確立されていないため，今回の取り組みによって一つの方法を提示した形となった．安全論証構造を構築する方法論は，個々の作成者の判断に依存することが多い側面があるため，第三者がその論証を構築する根拠を理解することが難しくなる傾向がある．ここで，今回採用したような手法を利用することで，記述内容をどのような根拠に基づいて判断・分析・抽出して論証構造を組み立てかを明確に示すことができた．この分析資料を参照・利用することによって，より的確な安全論証構造を示すために必要な記述内容の改訂を効率的に進められる．

4. おわりに

本稿では，JAMAのADSEF（Ver.3）の英語版を分析対象とし，現状の記述内容の分析結果に基づいて安全論証構造を構築した．既に公開された資料に含まれるテキストと図を詳細に分析し，そこから GSN における論証構造を構成する要素を抽出し，論証構造を組み立てる構築する方法はこれまでに確立されていない方法であるため，今回の適用事例は貴重な技術資料となりえる．

安全論証構造を構築するにあたって，組み立てに必要な情報をどのような根拠・判断で分析・抽出を行ったかを明確に示すことができるため，個々の分析者の判断に依存しやすい懸念を払拭することに有用である．

また，本分析資料は，安全論証構造という観点で今後のADSEFの改訂を進める場合の方針策定に有益な資料として活用ができる．

今後の課題として上げられる点としては，以下のものが挙げられる．

(1) 論証できたことを示すソリューションの記述の追加

ADSEFのGSN 図を構築したことによって分かった特徴として，ソリューションに該当する記載が見たらない箇所の多いことさがあげられる．ソリューションは論証の根拠資料や成果物を示す重要な構成要素であるため，ADSEFを通常の安全規格のように，成果物を明示的に記述するためには優先的に改訂することが必要な特徴である．

(2) 安全論証構造に合わせた構成の見直し

今回の安全論証構造は，現在のADSEFの章立てに基づいて作成を行った．これ自体は特に大きな問題ではないが，ADSEFのトップゴールを論証するための構造を示していない一因と考えられる．したがって，安全原則をトップゴールに据えた形で安全論証が構築できると，安全保証の考え方を明確化することが可能になると考えられる．今回のADSEFについての詳細分析結果を用いれば，安全原則をトップゴールとした論証構造に沿った構成に改訂することも可能である．

(3) 安全論証構造の構築に向けた分析対象の拡張

今回はADSEFの2 章から 4章のテキストと図を分析対象としたが，安全論証構造として構築できなかった箇所や安全論証構築の適切さが判断できなかった箇所が今後の課題となった．より適切な安全論証構造を構築するためにはさらなる分析と構築が必要であり，とりわけ今回の分析対象から除外したAnnexの詳細な技術情報を取り込むことが有意義である．

謝辞

本稿は，経済産業省「無人自動運転等のCASE対応に向けた実証・支援事業（自動走行システムの安全性評価基盤構築に向けた研究開発プロジェクト）」の成果の一部をまとめたものであり，関係各位に対して謝意を表す．

References

• 1)   UN-ECE : Framework document on automated/autonomous vehicles (updated) (2022) , https://unece.org/info/publications/pub/365097, (参照 2024-11-14)
• 2)  国土交通省：自動運転車の安全確保に関するガイドライン，p. 3-10 (2024) , https://www.mlit.go.jp/jidosha/content/001746489.pdf, (参照 2024-11-14)
• 3)  日本自動車工業会：自動運転の安全性評価フレームワーク（Ver.3） (2022) , https://www.jama.or.jp/operation/safety/automated_driving/pdf/framework_ver_3_0.pdf, (参照 2024-11-14)
• 4)  日本規格協会： ISO 34502:2022, Road Vehicles -Test scenarios for automated driving systems -Scenario based safety evaluation framework (2022) , https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO+34502%3A2022, (参照 2024-11-14)
• 5)   UN-ECE : Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to Automated Lane Keeping System, pp. 7-11 (2020) , https://unece.org/transport/documents/2024/02/working-documents/grva-proposal-new-un-regulation-uniform-provisions, (参照 2024-11-14)
• 6)  VV&M: Detailed VVM Safety Augumentation Structure, https://www.vvm-projekt.de/fileadmin/user_upload/VVM_Argumentation_Structure.gsn_v2.pdf, (参照 2024-11-14)
• 7)   Waymo : Building a Credibile Case for Safety: Waymo’s Approach for the Determination of Absence of Unreasonable Risk, (2023) , doi:10.48550/arXiv.2306.01917
• 8)  JAMA: Automated Driving Safety Evaluation Framework Ver 3.0 (2022) , https://www.jama.or.jp/english/reports/docs/Automated_Driving_Safety_Evaluation_Framework_Ver3.0.pdf
• 9)   UN-ECE : Guideline and recommendations for Automated Driving System safety requirements, assessments and test methods to inform regulatory development, p . 3-41 (2024) , https://unece.org/transport/documents/2024/04/working-documents/grva-guidelines-and-recommendations-automated-driving, (参照 2024-11-14)
• 10)  The Assurance Case Working Group (ACWG): Goal Structuring Notation Community Standard, Version 3, SCSC-141C (2021) , https://scsc.uk/r141C:1?t=1, (参照 2024-11-14)
• 11)  R.  Alexander,  R.  Hawkins ,  T.  Kelly: Security Assurance Cases: Motivation and The State of the Art, CESG/TR/2011/1, U. York, (2011) , https://www.semanticscholar.org/paper/Security-Assurance-Cases%3A-Motivation-and-the-State-Alexander-Hawkins/623bb1c1ded3860ed1307d45a2a01823b13abff6, (参照 2024-11-14)
• 12)  Aurora: Aurora’s Safety Case Framework, https://safetycaseframework.aurora.tech/gsn, (参照 2024-11-14)