認証技術に関連する情報の公開

International Aviation Software Summit 2021 #3

RTCAとEUROCAEが共同で、2021年6月23日、24日に開催したInternational Aviation Software Summit 2021に参加しましたので、何回かに分けてその内容を報告したいと思います。今回は第2回としてon-demandセッションの中からパネルディスカッションのひとつを紹介します。

SAE: Roundtable on Safety/Assurance Case Approaches

現在、SAE S-18AとEUROCAE WG-63 SG-1において、autonomous systemsにおけるARP4754A(development assurance)、ARP4761(safety assessment)をどのように適用していくかが議論されています。このパネルディスカッションでは、autonomyがこれらのプロセスに与える新しいチャレンジについて考察しています。

SPEAKER

  • Kim Wasson, Certification Engineer, Joby Aviation
  • Cory Laflin, Engineer Specialist, Textron Aviation
  • Doris Abran, System Safety Expert, Safran
  • Robert Voros, Engineer Manager, Textron Aviation

内容

冒頭、各パネリストから自己紹介と現在の活動について紹介がありました。
Robert氏(SAE S-18のChairでS-18Aのメンバー):
現行のARP4754AとARP4761はよくできたガイドラインであり、既に全世界のスタンダードとして用いられているが、Autonomous Systemsのような新しいアプリケーションに適用することはチャレンジングなことである。
Doris氏(EUROCAE WG-63のメンバーでWG-63 SG-1のChair):
WG-63 SG-1のミッションとして、現行のED-79(ARP4754)とED-135(ARP4761)のDevelopment AssuranceとSystem Safety PracticesをUASとVTOLに適用することがある。そのためのgap analysisを行い、適用するための改修が必要と考えている。WG-63 SG-1はSAE S-18Aとの共同作業である。
Cory氏(SAE S-18のメンバーでS-18AのCo-Chair):
S-18Aの活動は、Doris氏から紹介のあったWG-63 SG1と共同で実施している。現行のDevelopment Assurance(ARP4754A)とSystem Safety Practices(ARP4761)のUAS、eVTOL、それ以外のnon-traditionalな運用をしている他の機体への適用性を議論している。また、ARP4754A、ARP4761をUAS、autonomous aircraft、eVTOLの認証に適用するためのガイドラインを検討している。
Kim氏(SAE S-18、S-18A、G-34のメンバー):
新しいbehaviorsには新しいhazardsがつきものであり、我々は十分にそのbehaviorsとhazardsとその環境の特徴、そしてそれらの作用と結果を理解する必要がある。そのシステムを概念的に完全な状態で定義し、その定義に忠実に実装し、それが受容可能な振る舞いをすることに対して確信を得ることができなければならない。認証に当たっては、認証当局としては、安全に関する文書と対話を必要とする。

続いてRobert氏からARP4754AとARP4761における航空機の開発プロセスと安全性評価プロセスの解説がありました。
ARP4754Aのプロセスにより、requirementsから導き出されたFunctionに対して、ARP4761のFHA(Functional Hazard Assessment)を適用し、そのFunctionが喪失した場合、誤った振る舞いをした場合にどのようなハザードが発生するかを分析し、クラス分けする。
これらのFunctionは、Architectureの設計において、①Procedures、②System Behaviors、③Mechanism Definitionにブレークダウンされるが、これら①~③のバランスは航空機によって違いがある。Part23の小型機では③Mechanism Definitionの占める割合が多く、Part25の大型機では②System Behaviorsの占める割合が多い。将来のUAS、UAMにおいては①Proceduresが少なく、②System Behaviorsが大きくなるだろう。
また、ARP4761のPASA(Preliminary Aircraft Safety Assessment)/PSSA(Preliminary System Safety Assessment)において、①ProceduresはFlight manualやMaintenance manualに落とし込まれて安全を維持することになる。②System Behaviorsはシステム、ソフトウェア、電子ハードウェアの設計の際にDevelopment Assurance Levelsに基づいた厳密さの設計により安全を確保するとともに、一部にIndependenceを適用することにより安全を確保する。③Mechanism Definitionに関しては、Probability of Failureを達成するとともにArchitectureのindependenceにより安全を確保する。

この解説は、ARP4754AやARP4761の役割が簡潔に示されており、大変わかり易い説明でした。特にFunctionがArchitectureの設計によって3つの実現方法にブレークダウンされ、それぞれがPASA/PSSAでどのように安全が担保されていくのかは、ARP4754AとARP4761の連携がよく表現されていました。

続いて、Kim氏から「新たな懸念事項(new concerns)-これはUASやAIと言った動きのことだと思われる」に対して既存の安全性評価(safety assessment)や開発保証(development assurance)のシステムをどう適用していくか、このパネルディスカッションでのポイントが紹介されました。
現在のやり方(ARP4754A、ARP4761)はよくできたやり方ではあるが、新しい技術に対してギャップ分析を行い、何が必要とされているのか、新しい技術に基づいたシステムが意図された通りに動作することを保証するためにどのようなステップを設ける必要があるのかを検討している。
この議論におけるKey Topicsとしては以下があるとして、パネルディスカッションが始まりました。
① Decision Authority & Behavioral Predictability
② Perception of Risk of a Remote Pilot and Ground Crew
③ Operations and Population Density Considerations

Kim氏: 
machine learningなどには、これまでのrequirements traceabilityやstructural code coverageと言った伝統的な手法は使うことはできないので、どのようにそのbehaviorがintendedなのかを示したら良いのかが課題である。新たなverification methodとしてprobabilistic methodやformal methodsがneural networkが意図した振る舞いをしていることの確証を得る手段としてあるのではないか。
Cory氏: 
今までのgapと言う観点から言うと、autonomous aircraft(artificial intelligent flight crew)では、航空機に搭載するシステムだけでなく、AIによる自律パイロットもcertificationの対象となる。これは今まではパイロットは正しく設計されたproceduresに従うことが求められたが、自律パイロットではこのproceduresに従った振る舞いをするかどうかを証明する必要がある。
Doris氏: 
今までのやり方はRobert氏が冒頭で説明したようにrequirementsに基づいてfunctionを定義するところから始まる。一方で、今回の議論の対象である新しい技術、新しいシステムでは何がfunctionとして定義されるのか、今までの考え方とは全く異なるものがある。今までの枠を超えた検討が必要である。それを設計し、実証するのは大いなるチャレンジである。
Cory氏: 
S-18A、WG-63 SG-1では、そのような新しい製品に対してARP4754A、ARP4761を適用するさいのギャップを分析してAIR7121にまとめている。まだ多くのものが議論の途中である。
Robert氏: 
これまでのsafety assessmentでは、乗員、乗客、機体の安全性が議論されていたが地上のpopulation densityに関しては考慮されてこなかった。しかし、UASやautonomous aircraftではpopulation densityが注目されている。
Cory氏: 
population densityに関しては、top concernsの一つとして議論しており、operational risk assessmentの課題である。S-18では、ARP4754AとARP4761をベースに考えているが他のコミッティとも連携して検討していかなければならない課題と考えている。
Kim氏: 
これはASTMと連携して解決すべき問題である。航空機とATM、地上の設備などと関係してくるからそれらのコミッティと連携して検討していくべきである。また、航空機の課題としては空中での衝突の問題があり、これもどこに何が飛んでいるかをお互いに連絡しあう仕組みが必要となる。
Robert氏: 
我々の課題をどのように解決していくのか、その一方で、他のコミッティではどのようなことを検討しているのかオープンにして連携して検討を進めていく必要がある。

所感

パネルディスカッションを通してわかったことは、まだまだ新しい技術(UAS、AI、autonomous aircraft等)に対してどのようにARP4754AやARP4761を適用していくかは、議論が収束していないと感じました。S-18Aでは、その結果(過程?)をAIR7121にまとめており、そのステータスはWIP(Works in Progress)となっています。2021年7月26日(月)~30日(金)にかけてS-18のミーティングがオンラインで開催され、その中でAIR7121の議論もあるので、そこに参加して情報収集して、また報告したいと思います。

PAGE TOP