自動運転社会という未来

自動運転時代へ、必須になる電子制御の「ソフト更新」

2017.03.14

林 哲史=日経BPクリーンテック研究所

――今の自動車でも、人間が直接操作していないことを自動車側の判断で操作する機能を備えているということか。

そうだ。例えばブレーキオーバーライドという機能がある。この機能が有効になっていると、ブレーキとアクセルを同時に踏んだ場合にブレーキを優先する。これは、駐車場やコンビニでの踏み間違い事故を防止するために作られた。自動ブレーキ機能も同様だ。センサーが危険を察知して、ブレーキ操作を自動車自身が実行する。このように、今の自動車も必要に応じて、ドライバーが指示しなくても、自らの判断で運転操作をする機能を備えている。

ドライバーが車を運転する上で「危険な道」は三つある。第一は雨の道、第二は夜の道、第三は知らない道だ。これらの問題は先端技術を使うことでかなり克服できる。視界の悪い雨のときは、レーダーを使うことで周辺物体を把握できる。ヘッドライトだけでは運転しにくい夜にはナイトビジョンで視界が広がる。そして知らない道ならカーナビを使えばいい。

ここに高精度の3次元デジタル地図がやってくる。現実と同じ3次元環境をサイバー空間に再現できるのだから、自動運転ソフトはこれらの情報を活用することでこれまで以上の安全性を確保できるようになることは間違いない。

――自動運転車はコネクテッドカーになるわけだが、そうなるとネットワーク経由のサイバー攻撃が気になる。セキュリティーの確保はどうなっているのか。

まず、大前提として完璧なセキュリティー対策は実現できないことを理解するべきだ。ただし、安全性を確保するための対処策はある。それはリスク解析という考え方だ。どのようなリスクがあるのかを洗い出して、それぞれのリスクが生じてもシステムとしての安全性を守るように設計するという考えだ。

自動車の世界では、これを実践した国際標準「ISO26262」が制定されており、機能安全と呼ばれている。機能安全は、電子制御に関連する個々の部品や機能ごとに発生するリスクをすべて洗い出し、それぞれのリスクが生じたときでも安全性を確保することを求めている。ここでいう安全性の対象となるものはヘルス(健康,人命)、セーフティ(安全)、環境だ。

機能安全の運用は、メーカー自身が国際標準に沿って機能安全の確保に努め、それが実践されていることをドキュメント化して残すという形で進められている。メーカーの自主運用ではあるが、何らかのトラブルが生じて責任問題になったとき、安全性確保のプロセスを経てきたことを公的に立証する証拠になるため、どこも厳しく運用している。今は広く浸透しており、機能安全を満たしていない部品は自動車メーカーに調達してもらえない。

ただし、ISO26262にも問題がある。サイバーアタックというリスクを想定していないことだ。ISO26262が制定されたのは2011年だが、この標準化を進めている当時は、自動車に対するサイバー攻撃が想定されていなかったからだ。このためISO26262に沿った機能安全を確保しているケースでも、サイバーアタックを考慮すれば当然取るべき対策が取られていない可能性がある。

例えば、ECUのトラブル発生に関する信頼性確保において、ECUのマイコンを2重化するというアプローチがある。現在、この2重化は同じマイコンを2個用意するという考えが一般的だ。2個のマイコンで同じ処理を実行し、結果が一致したらOKとみなすのだ。

私は、サイバー攻撃を考えるとこの対策は十分ではないと考える。マイコンで動作する制御プログラムを書き換えられる危険性を考えたとき、同じマイコンを2個使う環境であれば、攻撃者が作成する悪意ある制御プログラムが一つで済むことになる。制御プログラムの書き換え防止を考えると、異なるマイコンで2重化するのが望ましい。そうすれば、攻撃者はそれぞれのマイコンで動作する制御プログラムを別々に作らなければならなくなる。こうしておけば、一つの制御プログラムを書き換えられたとしても、もう一つの制御プログラムが動作して結果が不一致となるため、ECUが乗っ取られることを防げる。

――電子制御で取り組むべきテーマは何か。

すぐに取り組むべきことはソフトのオンライン更新だ。バグのないソフトを開発することは不可能と割り切り、ソフトはアップデートするものと考えるべきだ。すでに米Tesla Motors(テスラモーターズ)は実施済みである。

これまでにも、ECUの制御プログラムにバグが見つかって大量のリコールに追われた事件は何度もあった。自動運転車の時代になると、ますます自動車に搭載されるソフトは増える。開発現場は開発作業よりテストに追われる状況になっており、作業負荷は高まる一方だ。バグをなくすことにこれまで以上に注力するのは現実的ではない。「バグはなくせない」と考えて、迅速にソフト更新できる体制作りを急ぐべきだ。そうしないと、これまで以上の大規模リコールが発生する危険もあるだろう。

※この記事は日経BPクリーンテック研究所の研究員が執筆し、日本経済新聞電子版のテクノロジー分野のコラム「自動運転」に掲載したものの転載です。