目次
3つの並列システムで危険を回避
例えば前方を走るトラックが、積載していた荷物を落下したとしよう。巨大な荷物が突然道路に落ちてきて、車線を塞いでしまったら・・・?
人間のドライバーにとっては一瞬の危機的なアクシデントでも、将来導入を目指している高度な自動運転システムであれば難なく危機を回避することができる。それは搭載されている3つの並列システムにより、安全を担保できるからだ。
自動運転システムに搭載される「メインプランナー(Main planner)」は通常の運転操作を行い、快適性を重視した行動をとる。2番目のシステム「フォールバックプランナー(Fallback planner)」は同時に軌道を計算し、必要に応じて車両を安全な位置に素早く移動させる機能を持つ。そして3番目のシステムである「スーパーバイザー(Supervisor)」がメイン経路とフォールバック経路のどちらが危険かを常にチェックし、それぞれのケースで最も安全な選択肢を取る。
万が一、メインプランナーが障害物を見落とした場合でも、フォールバックプランナーによって安全に回避行動をとるか、回避できない場合は路肩に停車するため、自動運転車両では常に安全が確保されることになるという訳だ。
複数のシステムが並行して作業を担当
ポルシェ・エンジニアリングは、高度な自動運転(HAD)の機能を安全かつ信頼性の高いシステムとすべく、全力で開発を続けている。その過程で重視されている戦略が「デコンポジション(Decomposition:分解)」だ。これは、車両を単一のシステムで制御するのではなく、複数のプランナーやスーパーバイザーが並行して作業を行うことを意味している。
ポルシェ・エンジニアリングにおいて、ドライビング・アシスタンス・システムの開発リーダーを務めるヤン・グットブロッドは「システムを組み合わせることで、単一のシステムよりもはるかに高いレベルの安全を実現できます。現在、一番大きな課題は、考えうるすべての状況をシステムに理解させることにあります」と、現状を説明する。
さらに、ポルシェAGの自動運転技術部門トップのアルベルト・ベッティガーは、次のように付け加えた。
「システム全体が、異なる車種や運転スタイルに対応し、異なる色の道路標識(たとえそれが風化していても)を認識し、既知/未知の障害物を安全に回避できなければならないのです。そのためには、3つのシステムの協調的な相互作用が必要となりますし、それをテストや走行試験で証明する必要があります」
「共通原因エラー」を防ぐための独自性
安全性を確保するためには、技術的な設計にも大きな影響を及ぼすことになる。航空分野では古くから安全面に関して、並列システムが採用されているという。
「真の冗長性を実現するためには、システムを単純にコピーしないことが重要です」と、フォルクスワーゲン・グループのソフトウェア・テクノロジー企業、カリアド(Cariad)社のシステムエンジニアリング・アーキテクチャ部門トップ、アンドレアス・ナグラーは話す。
つまり、それぞれのシステムが、独自のハードウェア、ソフトウェア、データソースを持っていなければならない。これは「共通原因エラー」と呼ばれる、同じ理由・原因による不具合を最小限に抑えるための、唯一の方法なのだ。
この技術的な独立を実現するために、自動運転システムに搭載されるスーパーバイザーは、オブジェクトリストのみを使用して環境画像を作成。これらのリストは、車両に搭載されたセンサーによって生成される。
例えば、レーダーセンサーは、周辺に検知できるすべての車両や物体のリストを、その移動方向も含めて提供。一方、メインプランナーとフォールバックプランナーは、オブジェクトリストではなく、センサーからの生データ、例えばレーザースキャナー(LiDAR)からもたらされるデータを使って動作する。また、一部のコンポーネントは地図データにもアクセスするが、スーパーバイザーは地図データには一切アクセスしない。
データ処理方法もシステムによって異なる。メインプランナーとフォールバックプランナーは、センサーデータフュージョンと呼ばれる手法を適用。あるセンサーだけが空間内の物体を報告し、他のすべてのセンサーが報告しない場合、センサーデータフュージョンのアルゴリズムはこの信号を誤検出と判断し、廃棄する。
これに対して、スーパーバイザーは、すべてのセンサーを厳密に分けて分析。このように、個々のシステムの機能原理が異なるため、それぞれが独自の状況把握をすることになる。そして、各システムが持つ力を結集することで、安全な走行が実現する。
2秒先を予測するスーパーバイザー
スーパーバイザーに与えられた仕事は、メインプランナーとフォールバックプランナーが計算した経路にリスクがないかどうかをチェックすること。そのために、ふたつのプランナーとは異なる時間軸で常に予測を行っている。
いわゆる「弾道的アプローチ(Ballistic approach)」は、直前の移動距離に対して使用される。スーパーバイザは、物体が慣性と質量の法則に則り、基本的に移動方向と速度を維持すると仮定。その予測は、数秒先の未来にまで及んでいる。つまり、このまま進めば2秒先にはこのような状況に至るということを予測しているのである。
先々の交通事象を予測するためには、数千ものパラメータを持つ非常に複雑なソフトウェアが必要となる。特に、速度、路面、天候、周囲の道路利用者、停車中のクルマなど、過去の運動プロファイルが考慮される。この予測は、その後の判断のベースとなる。
「スーパーバイザーは、パスプランナーが予測した軌跡を未来のシナリオへと落とし込むのです」と、前出のグットブロッドは説明する。例えば、車両の周囲にある「主権領域(いかなる物体も進入を許されない領域)」に計画したコース上で何かが起こった場合、スーパーバイザーはこれを拒否して進路変更を開始する。開発者の言葉を借りれば「計画者を狂わせる事態」が起こったということになる。
プランニングソフトは非常に繊細さが要求される。もしスーパーバイザーが潜在的な危険シナリオの重要度をあまりに早く分類してしまうと車両は慎重に行動しすぎてしまい、その結果、安全でなくなる可能性もあるのだ。開発者はこの現象を「拙速な判断による、過剰な安全」と呼ぶ。この場合、例えばブレーキをかけるのが非常に早くなってしまう。
開発が続く自動駐車システム
自動駐車システムに関しては、これまでとはまったく異なる種類の不測の事態にも対応しなければならない。カリアド社は、2021年9月に開催されたモーターショー「IAA モビリティ」において、この新機能が将来的にどのような未来をもたらすのか、デモンストレーションを行なっている。
デモンストレーションでは、ドライバーは駐車場の特別な「トランジッションゾーン」に、ポルシェ カイエン Eハイブリッドを停車。その後、スマートフォンで駐車の指示を行う。するとカイエンは、駐車スペースに向かって移動を開始した。
ドライバーが希望すればクルマ自身が充電ステーションまで走行し、そこで充電プラグを持ったロボットアームが自動的にドッキング。その後、実際の駐車スペースヘと自動的に移動する。ドライバーが再びクルマを必要とする場合は、アプリでトランジッションゾーンに呼び戻すことができる。ドライバーにとっては、時間のかかる駐車場探しや運転操作が不要になり、その時間を充電に充てることが可能になる。
自動駐車システムは、原則として車両が自ら駐車スペースに向かう方法と、周囲のインフラが制御を引き継ぐ方法の2パターンがある。後者の場合、駐車場システムは無線信号で車両に進路を教え、適宜加速・減速させる。IAA モビリティで行われたカリアド社のデモンストレーションはこの方式を採用していた。長期的に自動駐車においてどちらのシステムが優勢になるかはまだ分からないという。
「インフラを介した制御は、実装が簡単でセキュリティも確保しやすい利点があります。一方、車両を使った自動駐車は、より多くの駐車場を活用することができます。私自身の意見としては、駐車場も含め長期的には完全な自動化が進むと考えています」と、ベッティガーは付け加えた。
終わりなきアップデートが続く自動運転技術
今後しばらくは、自動運転車両と従来型の通常運転車両が駐車場を共有することから、駐車場をインフラとして制御する場合は自動車と同じように冗長化されたシステムを使用する必要がある。そのため自動駐車システムは複数の制御を並列して動作させなければならない。そうすることで、例えば歩行者が突然クルマの前に現れるような緊急事態にも安全に対処することができる。
安全性の確保は、関係者全員にとって何よりも重要な義務となる。ポルシェ・エンジニアリングのパーキングシステム担当プロジェクトマネージャー、セバスチャン・レイコフスキーは次のように語る。
「インフラ事業者とアルゴリズムを精査していくことになるでしょう。外部からの制御による駐車を安全に実現するためには、車両側にも大幅な調整が必要となります。例えば、5GやWiFiを使ったインフラとの通信は、不正アクセスを防ぐためにすべて暗号化する必要があります」
無線接続が切れた場合、車両は自動的に停止。搭載されるメインブレーキシステムが故障した場合、セカンダリーシステムが作動して安全に停止できるようにする必要がある。電気モーターの回生システムを、パーキングブレーキやパーキングロックと併用するのも一案となっている。
そのためには、共通の通信規格を策定し、あらゆるメーカーの車両が駐車場サービスを利用できるようにしなければならない。自動車とインフラ間の通信インターフェイスに関する規格はすでに作業が進められている。
「法律家は、どの時点で車両からインフラへと責任が移るのかも考えています。例えば、どの時点で駐車場が損害賠償責任を負わなければならないのか、定義されていないのです」と、レイコフスキーは付け加えた。
高度な自動運転システムに完成はない。継続的な改善が不可欠となる。「自動車のソフトウェアは、私たちが使っているスマートフォンのように、将来にわたって継続的に開発が続くことになるでしょう」と、カリアド社のナグラーは最後に締めくくった。