米国NHTSA:自動運転車へのガイダンスを発表

5段階のレベル分けを採用、15項目の安全評価提出を要請

2016/11/08

要約

 NHTSA(National Highway Traffic Safety Administration)は、2016年9月に、自動運転車へのガイダンス”Federal Automated Vehicle Policy”を発表した。自動運転技術は日々進歩しているため、これは最終的なものではなく、今後の各方面からのフィードバックを反映して、1年またはそれ以内の時期に改訂版を発表する予定。またNHTSAは、毎年ガイダンスを改定する方針。

 現段階ではこのガイダンスに法的強制力はないが、自動運転技術を搭載する自動車を公道で試験運転し、また市場導入する自動車メーカー(またはその他の組織)に、自主的に本ガイダンスが示す15項目の安全評価を提出するように要請している。

    全体の構成は、
  1. 自動運転車の性能についてのガイダンス
  2. 連邦法規と州法規の関連
  3. NHTSAが管轄する現在の規制手段(FMVSSなど)
  4. 将来の規制手段
  5. となっている。

 またNHTSAは、従来の4段階に替わり5段階の自動運転レベル分けを採用した。

 本レポートでは、5段階に変更した自動運転技術のレベル分けと、自動運転車の性能についてのガイダンス(=NHTSAが自動車メーカーに提出を要請する15項目の安全評価)の概要を報告する。



レベル2の自動運転技術を搭載する3車種

Mercedes-Benz E-Class
(デトロイトオートショー2016) Tesla Model X(写真:Tesla Motors) Volvo S90
(デトロイトオートショー2016)
Mercedes-Benz E-Class
(デトロイトオートショー2016)
Tesla Model X
(写真:Tesla Motors)
Volvo S90
(デトロイトオートショー2016)

関連レポート:
Tesla Motors:計画を2年早めて2018年に50万台生産を目指す (2016年10月)
トヨタの自動運転:Autonomous Vehicle and ADAS Japan 2016 から(1) (2016年8月)
自動運転技術実現への社会的な課題と、ドライバーの関与のありかた (2015年6月)





NHTSAは自動運転技術の安全面への貢献を高く評価

 NHTSAは、完全自動運転を含む「自動運転」は、約100年前に自動車が個人的に使用されるようになって以来最大の技術変革をもたらし、安全面の向上に大きく貢献する可能性を秘めているとしている。以下の二つの数字がこのことを示している。2015年に米国で35,092人が交通事故で死亡し、衝突事故の94%は人(ドライバー)の選択とエラーが関係していた。人間は、同じ過ちを何度でもするが、自動運転車には他の多くの車のデータと経験から学べるという利点がある。

 自動運転車は、安全面の他にも、経済的理由や高齢、障害などのため現在は車を使用していない人達に新たな車利用を可能にする。このような大きな可能性を認識する故に、このガイダンスは自動運転技術導入を加速することを目指している(このガイダンスのサブタイトルは、”Accelerating the Next Revolution in Roadway Safety”)。

 反面、「自動運転は人による運転に代わり得るのか」、「どんな倫理的な判断が求められるのか」、「プライバシーやセキュリティを混乱に陥れ破壊することはないか」などの重大な懸念も生じている。自動運転技術が「安全に」すなわち「新しい大きなリスクを伴うことなく」導入されることが必要である。



自動運転技術のレベル分けを4段階から5段階に変更

 NHTSAは、これまで自動運転技術のレベルを4段階に分類してきたが、2016年9月のガイダンスから、SAE Internationalの区分に合わせて5段階の区分を採用した。従来のレベル3~4をレベル3~5に再分類した。新たに設定したレベル4は「一定の走行条件下(走行する地域、決まったルートなど)で、完全自動運転する」というもので、この分類に相当する自動運転車が今後増えるとの予測に基づくとされている。

 NHTSAは、ドライバーが主に走行環境監視の責任を負うレベル1~2と、システムが主に責任を負うレベル3~5に大きく分けて、レベル3~5の車を”Highly Automated Vehicle (HAV)”と呼んでいる。下表は、それぞれのレベルにおいて、「ハンドル操作やアクセル操作」「走行環境の監視」「緊急時のリスク最小化」について、ドライバーと自動運転システムのどちらに責任があるかも合わせて表示している。

 自動運転車を開発する自動車メーカーは、開発中の車がどのレベルに相当するか決定してNHTSAへ届けねばならない。NHTSAは、自動車メーカーの意見に同意できない場合は、アドバイスする。レベルを決定すると、自動車メーカーが取り組むべき課題が明確になるとしている。



NHTSA:自動運転の 5 段階の分類を採用

レベル 名称 定義 ハンドル・
加減速
の操作
走行環境
監視の責任
緊急時の
リスク
最小化
の責任
システム
が担当する
走行モード

従来の
NHTSAの
レベル
レベル0~2では、ドライバーが走行環境監視の責任を持つ  
0 No
Automation
 人間のドライバーが全ての運転操作をする。 ドライバー ドライバー ドライバー なし 0
1 Driver Assistance  車両の自動システムは、ドライバーが運転操作を行う際に、その一部を支援することができる。 ドライバー

システム
ドライバー ドライバー 一定の
走行モード
1
2 Partial Automation  自動システムが、運転のある部分を実際に行うことができるが、ドライバーが常時車の走行環境を監視し、またシステムが行う分以外の操作は自ら行う。 システム ドライバー ドライバー 一定の
走行モード
2
レベル3~5では、システムが走行環境監視の責任を持つ  
3 Conditional Automation  自動システムが、運転操作のある部分を行うとともに、車の走行環境を監視する。しかしドライバーは、システムが要求した場合に、自らが車をコントロールできるよう準備していなければならない。 システム システム ドライバー 一定の
走行モード
3
4 High
Automation
 自動システムが運転操作と走行環境の監視を行い、ドライバーがコントロールを取り戻す必要はない。しかし自動システムは、一定の環境と条件下においてのみ機能する。 システム システム システム 一定の
走行モード
3/4
5 Full
Automation
 人間のドライバーが運転できる通常の状況下であれば、自動システムが全ての運転操作を行う。 システム システム システム 全ての
走行モード
資料:NHTSAのFederal Automated Vehicle Policy (2016年9月)とPreliminary Statement of Policy concerning Automated Vehicles (2013年5月)、SAE InternationalのLevels of Driving Automation(2014年1月、「J30 16」)
(注)従来のNHTSAのレベル 3の定義は以下の通り:「Limited Self-driving Automation:自動システムが運転操作と走行環境の監視をする。ドライバーが常時監視することは想定しない。しかし、例えば予期していなかった建築現場に遭遇した場合などシステムが自動運転は無理だと判断した場合は、十分な時間的余裕を持ってドライバーに運転操作を返す」


自動運転車の性能についてのガイダンス

 米国で販売する車両については、Federal Motor Vehicle Safety Standards(FMVSS)に適合していれば、他に法的な障壁は存在しない。しかし自動運転車を開発する自動車メーカーは、NHTSAの車の欠陥の認定・リコールの権限に指示に従うことを要求される。従ってNHTSAは、自動車メーカーが道路上での安全を確保するためにこのガイダンスを活用することを要請する。

 具体的には、公道で試験走行するまたは一般に販売される自動運転車を開発・販売する自動車メーカーに、下記の15項目のガイダンスがどのように守られているかをNHTSAに報告するよう要請する。この報告システムは、今後の法制化も検討中。

 15項目の安全評価に影響するような重要な変更または改善を行う場合や、ソフトウエアの重要な変更を行った場合も同様である。

 15項目のうち、データの記録と共有、システムの安全、HMIなどの11項目と「テストと検証」は全自動運転車に適用される。また次の3項目、「HAVシステムが機能する範囲・条件(ODD )」、「走行環境の把握と対応(OEDR)」、「緊急時の対応」の3項目は、レベル3以上のHAV(Highly Automated vehicle)に適用される。



自動運転車の性能に関するガイダンスの構成

レベル2以上の全自動運転車に適用 1)データの記録と共有、2)プライバシー、3)システムの安全、4)サイバーセキュリティ、5)ヒューマン・マシン・インターフェイス (HMI)、6)衝突耐性、7)消費者の教育と訓練、8)登録と認可、9)衝突後の対応、10)連邦、州および地域の法規への対応、11)倫理的な考慮
HAVに適用 12)HAVシステムが機能
する範囲・条件(注1)
1)地理的な場所、2)道路のタイプ、3)車速、4)昼夜、5)天候、6)その他の制約
13)走行環境の把握と対応(注2) 1)通常の走行、2)衝突回避など危険への対応
14)緊急時の対応(注3) 1)ドライバーが責任を持つ、2)システムが責任を持つ
レベル2以上の全自動運転車に適用 15)テストと検証 1)シミュレーション、2)試験コース、3)道路上
資料:NHTSAのFederal Automated Vehicle Policyから作成
(注)1. NHTSAの英文表記は"Operational Design Domain (Where does it operate ?)"。
2. 英文表記は、"Object and Event Detection and Response"。
3. 英文表記は、"Fall Back Minimal Risk Condition"。



全ての自動運転車に適用される11項目

レベル2以上の全自動運転車に適用される11項目のガイダンス

1)データの
記録と共有
 量産車両だけでなく、テスト車両にも必要。1)死亡事故または乗員の損傷、2)巻き込まれた車両のいずれかが通常の運転ができず、牽引を必要とするような事故の場合、状況を再現できるようにしておく。HAVシステムの状況と、システムまたはドライバーのいずれが車両をコントロールしていたかについての記載も重要である。
 システムが作動し、ニアミスを避けることができたなどの肯定的なことがらも記録しておく。HAVは安全面で大きな可能性があり、こうした記録を他の自動車メーカーと共有することで、安全機能を向上させ、消費者のHAVへの信頼感を高めることができる。ただし、ユーザーの特定につながるデータは公表しないこと。
2)プライバシー  The White House Consumer Privacy Bill of RightsやThe Federal Trade Commission’s privacy guidance等に従う。
3)システム
の安全性
 諸々のタイプの(電気的な、電子技術関連の、機械的な、またはソフトウエア上の)問題が生じた場合でも、車は安全な状態に置かれるよう設計しなければならない。ソフトウエアの開発は、問題が生じた場合に点検できるように開発過程を整理しておかなければならない。
 HAVシステムが正常に機能しない場合に備えて、冗長性の確保(回路を二重以上にする)などの安全対策を明示しなければならない。AI、機械学習など、ソフト分野の技術とアルゴリズムをモニターし、HAVシステムの効率と安全性を高めていかなければならない。
4)サイバー
セキュリティ
 National Institute for Standards and Technology、SAE International他の機関が発表しているサイバーセキュリティに関するガイダンスを守る。安全対策と同じように、各社間で共有する構造を構築することも重要。
5)ヒューマン・マシン・インターフェイス(HMI)  自動システムは、人間のドライバーに、車の意思と走行状態を正確に伝えねばならない。特にレベル3では、ドライバーが運転の取り戻す可能性があるにもかかわらず、運転操作から離れて注意力が落ちている場合があるので、ドライバー・モニタリングの搭載も検討する。
 ドライバーまたは他の乗員に、少なくとも下記を表示で伝えなければならない:HAVシステムは、1)順調に稼働している、2)現在自動運転中、3)現在自動運転できない、4)自動運転が正常に働いていない、5)運転をドライバーに返したいと要求する。また、ドライバー無しで自動運転する場合は、コントロールセンターが常時状況を把握していることが必要。
6)衝突耐性 <乗員保護>HAVは衝突を避ける能力があるが、衝突耐久性もNHTSAの基準を満たさねばならない。他の車が衝突してくる場合もある。また、センサーが作動しなかった場合に乗員保護システムが意図した性能を発揮しなければならない。
<コンパティビリティ>配送用などで無人で走行するHAVにも、衝突耐久性が求められる。また衝突においての、このクラスの車両に要求されるエネルギー吸収構造などのCompatibility(衝突した相手の車に過大な損傷を与えない構造)が求められる。
7)消費者の
教育と訓練
 HAVのメーカー、販売店など関係者は、消費者にHAVについて、通常の車両の運転との違い、HAV機能の能力と限界、自動運転のオン/オフ、HMI、緊急時にリスクを最小化するシナリオなどを教育しなければならない。
 また、教育・訓練の一環として、HAV車両の発売前に、公道またはテストトラックにおいて、実際にHAVの運転をデモし体験する機会を検討すべきである。
8)登録と認可  NHTSAは、今後多くのHAVがライフサイクル中に、ハードウエアは従来のままでソフトウエアの向上により、自動運転のレベル引き上げを目指すであろうと想定する。また既に販売している車両に、自動運転機能を持たす変更を行うことも予想される。
 NHTSAは、車両と車両部品がFMVSSに適合するよう要求している。さらにHAVシステムに関連して使用される品目の明細を報告するよう求める。
 HAVのメーカーは、各HAVの「HAVシステムが機能する範囲・条件(Operational Design Domain)」において、速度、走行する地理的範囲、天候条件、その他関連事項に関する性能と限界を、オーナーマニュアル又は車内のHMIで明示しなければならない。
9)衝突後の対応  HAVのメーカーは、衝突に巻き込まれた後、復帰させるまでのプロセスを明示しなければならない。センサーや他の重要な安全システムが損傷した場合は、HAVモードでの走行はできない。当該HAVは、不具合の原因が究明されたときは、完全に修理されるまで安全な場所に駐車するなど「リスクの最小化」の状態を保たねばならない。
10)連邦、州および地域の法規への対応  メーカーは、自動運転車がいかに連邦、州および地域の法規に従おうとしているかを示す文書を作成せねばならない。
 事故車両や他の危険物を避けるために、ドライバーはセンターラインを超えて運転することがあるが、これは一時的にせよ州の道路法規に違反することになる。HAVも、事前に十分評価・検証した上で、こうした予見できるできごとに対処する能力を持つべきである。映像記録を残すことも考えられる。
 道路走行法規は、州により、場合によっては市により異なるが、一方通行、横断歩道、Right-on-red(赤信号になってから右折する交差点)など全て従わなければならない。交通法規は時間とともに変更されるので、HAVシステムがこうした変更に対応できるようアップデートしていかなければならない。
11)倫理的な考慮  HAVの「コンピューター・ドライバー」が下す決定は、倫理的な広がりと意味合いを持つ。何らの明確なルールがないまま行ったとしても、HAVのプログラミングは、暗黙の決定ルールを決めることになり、それは倫理的な結果を伴う。従ってこうした決定は、意識的に行うよう努めねばならない。
 多くのドライバーは、安全、モビリティ(移動の便利さ)と法順守の3項目を尊ぶ。前方に事故車両などがあり前に進めないときは、この3項目が矛盾する場合がある。多くの州は、センターラインを超える走行を禁じているので、センターラインを超えて進むと、安全と法順守が守られなかったことになる。
 ある車の乗員の安全と他の車の乗員の安全が、矛盾する場合もある。こうした矛盾を孕む件についてのプログラミングは、当該HAVおよび周囲に大きな影響をおよぼすので、多くの関係者間で透明性を保ちながら、結果の影響を考慮して決定しなければならない。
資料:NHTSA Federal Automated Vehicle Policy 



レベル3~5の自動運転車(HAV)に適用される項目

 以下の4項目のうち、3項目はレベル3~5のHAV(Highly Automated Vehicle)に適用され、「テストと検証」は全ての自動運転車に適用される。

 各HAVについて、12)「HAVシステムが機能する範囲・条件」(どのような条件(地域、道路のタイプ、車速など)でHAVとして機能するのか)を明確にし、13)「走行環境の把握と対応」(どのような走行環境が想定され、それをどう発見し対応するか(通常の走行としては、高速でFreewayに合流する場合など28の例を挙げている)を確認する。また衝突時では、どのような条件で衝突する可能性があり、それをどう避けるかを明確にする必要がある。

 さらに、それでもシステムがコントロール不能に陥った場合は、路肩に安全に駐車するなど、14)「緊急時の対応」をしてリスクを最小化しなければならない。レベル3の車では、システムの要求によりドライバーが運転を代わることが必要であり、レベル4~5では、システムが独力で「緊急時の対応」をしなければならない。

HAV(レベル3~5)に適用されるガイダンス

12)HAVシステムが機能する範囲・条件(ODD)  英文表記はOperating Design Domain (ODD)。HAVが適切に機能するよう設計された範囲・条件を示すもので、道路のタイプ、地域、車速、天候・時間等の条件を指す。HAVの能力と限界を示すことになる。HAVがこの範囲・条件から逸脱した場合は、HAVシステムを終了し「緊急時の対応」をしなければならない。
13)走行環境の把握と対応(OEDR)   英文表記はObject and Event Detection and Response (OEDR)。当該HAVが予定するODDで自動運転しているときに、何らかのアクションが必要な対象物や出来事に遭遇した場合、HAVシステムがそれらを発見し適切に対応することを文書で確認するよう求めている。
 通常運転と衝突回避に大きく分け、通常走行では28の状況を挙げている。例えば、高速度でのFreewayへの合流、追越しゾーン・追越し禁止ゾーンを確認した上で追越しを実行、信号と優先道路(車、歩行者)の確認、ラウンドアバウト交差点を通過する、など。 
 衝突回避については、HAVは正面衝突、レーンチェンジや合流時の事故、駐車中の衝突など起こり得る全ての衝突に対応せねばならない。予定するDomain内であれば、救急車、臨時工事、警察官が手動で交通整理をしているなど、通常はない状況にも対応しなければならない。HAVが対応できない場合は自動運転を終了し、「リスク最小化」の状態にもっていかねばならない。
14)緊急時の対応  英文表記はFall Back (Minimal Risk Condition)。Fall backは「縮退運転」などと訳し、システムに障害が発生した場合に、機能を落としてでも限定的な運転を続けることで、全く停止してしまう事態を避けることを指す。
 HAVでは、システムに問題が発生した場合、レベル3ではドライバーに連絡して車両をコントロールさせ、レベル4~5では独力で「リスク最小化」の状態へもっていかねばならない。「リスク最小化」の内容は、状況とその程度により異なるが、交通量の少ないレーンに移動して駐車することが想定される。
 レベル3では、ドライバーが法規の要求に反して注意散漫になっている可能性も考慮しなければならない。また、ドライバーが車のコントロールを取り戻す過程またはその後に引き起こす状況認識や意思決定でのエラーを、最小化するよう配慮しなければならない。
15)テストと検証  各自動運転車は、技術・性能・適用範囲が大きく異なるので、メーカーは各車の走行に高度な安全をもたらすテストと検証方法を開発せねばならない。
 テストにより、自動運転車の、通常運転・衝突回避運転での性能、各車のODDにふさわしい「リスクの最小化」を行う性能を示す必要がある。テストは、シミュレーション、試験トラック走行、公道走行を組み合わせて行い、また独立した第3者機関で実施してもよい。
資料:NHTSA Federal Automated Vehicle Policy 


レベル2へのガイダンス:ドライバーがシステムを過信するリスクへの対策を求める

 先の11項目および「テストと検証」のガイダンスは、レベル2の自動運転車にも適用される。

 また、レベル2では、自動運転システムが運転のある部分を担当するが、ドライバーが走行環境を常に監視していなければならない。しかし実際には、ドライバーがシステムを過信して十分な監視をしていなかったり、必要な場合に運転を代わることができないことも想定される。NHTSAはこの面での徹底した対策を求め、「ドライバーが散漫または不注意なため、安全上重大な状況下で車をコントロール出来ないような事態を招く可能性があれば、それは不当なリスクでありリコールの対象となる」としている。

 また、ドライバーの状態をモニターして、ドライバーの準備ができていないと判断すると、システム主導で「リスク最小化」へ誘導することも考えられるとしている。

 レベル2へのガイダンスは、レベル2に相当するAutopilotを搭載するTesla Model Sで2016年5月に発生した死亡事故を意識したものとされている。



安全評価項目のレベル3~5(HAV)とレベル2への適用

 以上の安全評価項目のレベル別適用を再度整理すると、下表のようになる。

本ガイダンスのレベル 3~5(HAV)とレベル2への適用

  レベル 3~5 (HAV) レベル 2
NHTSAへ安全評価を提出
1)データの記録と共有
2)プライバシー
3)システムの安全
4)サイバーセキュリティ
5)ヒューマン・マシン・インターフェイス (HMI)
6)衝突耐性
7)消費者の教育と訓練
8)登録と認可
9)衝突後の対応
10)連邦、州および地域の法規への対応 ドライバーに明示する
11)倫理的な考慮
12)HAVが機能する範囲・条件(ODD)
13)走行環境の把握と対応(OEDR)
14)緊急時の対応
(Fall back minimal risk condition)
15)テストと検証
レベル2の自動運転車へのガイダンス
資料:NHTSA Federal Automated Vehicle Policy 

キーワード

自動運転車、NHTSA、ガイダンス、レベル分類

<自動車産業ポータル マークラインズ>