自動運転車のセーフティとセキュリティ(安全性と保安性の設計を考える)
セーフティとセキュリティは、言葉の響きが似ていますが、単純な言葉の違いで言えば、セーフティは言わずもがなで「安全性」です。
一方、セキュリティの方は「保安性」という言葉がよく使われ、モノや人を外部からの害から守ることを意味します。
システム設計においては、フェイルセーフ(※1)やフォールトトレランス(※2)を考えたシステムの安全性設計とともに、保安性設計も行わなければなりません。
- (※1)フェイルセーフ(fail safe):装置やシステムが故障した場合に、安全サイドに作動を移行させること
- (※2)フォールトトレランス(fault tolerance):故障時に、多重化などにより機能維持を行うこと
正義はどちらに?
保安性に関して、‘外部からの害’という言葉を使い、システムの現在の使用者が正義で、害をなすものが不正義となりそうですが、実は常にそうとは限りません。
以下に例を示します。
- ケース1:ドローンや自動運転車を正しく運転する人に対して、操縦を妨害するものは不正義
- ケース2:ドローンや自動運転車を違法に運転する人に対して、操縦を妨害するものは正義
ケース1においては、いかに妨害に耐えるかの技術が重要ですが、ケース2においては、いかにして妨害するかの技術が求められます。
EMIとEMC(電磁適合性)
電子制御の安全性設計においてEMCという言葉があります。
電子制御で用いる電流制御などによる電波障害 のことをEMI(Electromagnetic Interference)と呼びますが、他のシステムにEMIを与えず、かつ、そのシステム自身も他のシステムからのEMIに対して耐えられることをEMC(Electromagnetic Compatibility、電磁適合性)が高いと言います。
例えば車両のシステムにおいて、高い制御電流により、車両のラジオにノイズを加えたり、他のシステムのセンサ信号に影響を与えるようなことをせず、かつ、そのシステム自身が高電磁場環境下でも誤動作しないようなシステムがEMC性の高いシステムです。
ケース1とケース2の両面性/外部からのアタックモードの解析
上述のケース2において、違法ドローンを取り締まる方法としてネットで捕捉するという方法と、ジャミングガンを用いて妨害電波で飛行困難にする(落とす)という方法があります。
後者の方法は、EMIを武器にしてアタックするものです。
これをケース1側からみれば、耐EMI性を高めて攻撃を防がなければなりません。
(ミサイルでも同様の攻防が行われますね)
情報におけるハッキングは情報を盗みますが、ドローンがモノの輸送のために、そして自動運転がヒトの自動輸送のために使われるようになると、ハッキングによりモノやヒトを盗む(誘拐?)ことが可能となります。
自動運転車の開発における実験で、実際に自動運転車をハッキングし、外部から遠隔操作した事例もあります。
自動運転システムの開発において、FMEA(故障モード影響分析)は当然行われますが、システム自身の故障モードの解析・検討に加えて、外部からのアタックモードについても解析・検討が必要です。
インターロックの搭載
工場の機械の非常停止ボタンのように、‘異常時には、まずは機械を止める’という考えに基づき、手動での停止ボタンがあります。
一方、自動的に作動する仕組みとして「インターロック」と呼ばれるシステムがあります。
インターロックでは、一定の条件になった時に、自動的にシステムを停止します。
逆に、条件がそろわないと起動できないようにする装置もインターロックと呼ばれます。(大物で言えば、核ミサイルの誤起動防止機構など)
ドローンは既に無人爆撃に使われていますが、自動運転車も同様の可能性(テロに使用されるリスク)があります。
その対策の法整備案として、インターロック機構の搭載を義務化するというアイデアはどうでしょうか?
取り締まり当局側のみ、インターロック条件情報を知ることができ、この情報と当局保管の装置の手動操作がそろった時のみインターロックが作動するというようなものでは?
猿の惑星の猿やロボットが人間に危害を加える側で、人間側が正義を持つとは言い切れませんが、人間が善良であり続ける自信があって、統治を続けたいのであれば、ロボットにもインターロック機構を付けておく必要がありますね!?(人間には寿命というタイマの付いたインターロックが装着済み?)
(日本アイアール株式会社 特許調査部 H・N)
