Lifecycle stage — Build
動作するAIプロトタイプと展開済みの安全クリティカルな機械の間にある最も難しいゲートは、セーフティケースです。これは、システムが許容可能な安全性を持つことを証拠で裏付けた構造化された論拠です。機械学習は、従来の機能的安全プロセスが構築された前提を打ち破ります。テストごとにトレースできる仕様書は存在せず、動作は統計的であり、認定機関は車両・航空システム・産業ラインにおいて文書化されていないモデルを受け入れません。セーフティケース・認証証拠エンジニアリングとは、その論拠と証拠トレイルを生成する能力です。すなわち、ハザード分析、リスク評価、ASIL/DAL/SIL分解、アシュアランスケース構築、および検証・妥当性確認トレーサビリティを、対象ドメインに適用される規格に対応付けることです。これがPhysical AIスペシャリストと汎用AIコンサルタントを隔てる最も明確な境界線であり、安全クリティカルなすべての分野における最大のブロッカーです。境界について明確にしておきます。実際の安全等級を付与しシステムを認証するのは認定機関です。私はその機関が評価するセーフティケースと証拠をエンジニアリングします。認証書を発行することはありません。
MLは従来のV&Vを破壊します。機能的安全規格は、テストごとにトレースできる仕様書の存在を前提としていますが、学習済みモデルにはそれがありません。アシュアランス論拠は統計的動作に対して再構築する必要があり、ほとんどのチームにはその手法がありません。
認定機関は文書化されていないMLを拒否します。検証では良好なパフォーマンスを示しても、ハザード分析・要件分解・トレース可能な証拠トレイルなしに提出されたモデルは適合性評価を通過しません。パフォーマンスは必要条件ですが、それだけでは到底不十分です。
証拠は最初からエンジニアリングしなければならず、後から組み立てることはできません。証拠を生成するように設計されていないシステムにセーフティケースを後付けすることは、規格が何を要求していたかを発見する最も費用のかかる方法です。
対象ドメインに適用される規格に対応付けます — ISO 26262(自動車)、DO-178C/EASA(航空宇宙)、IEC 61508(産業)、ISO 13482(サービスロボット)— そして定義されたシステム機能を対象に絞ります。
HARA(またはドメイン相当の手法)を実施します。ハザードを特定し、暴露/制御可能性/重篤度を評価し、認定機関が問うリスク分類の問いを導出します。機関が付与する等級を先取りすることなく進めます。
安全目標を機能的・技術的安全要件に分解し、MLエレメントとその安全機構・モニター・フォールバックを含むアーキテクチャ全体に割り付けます。
主張を証拠に結びつける構造化されたアシュアランス論拠(例:GSN)を構築し、安全推論を暗黙かつ主張されたものではなく、明示的かつレビュー可能なものにします。
検証・妥当性確認証拠と要件からテストへのトレーサビリティマトリクスを定義・整備し、テクニカルファイルが完全かつ監査対応の状態になるようにします。
自動車OEMおよびTier-1サプライヤー(ISO 26262)、航空宇宙・防衛プライムコントラクター(DO-178C/EASA)、産業・ロボティクスインテグレーター(IEC 61508、ISO 10218/13482)、そして安全インシデントが規制上・法的イベントとなる機能にMLを展開するエネルギー事業者 — バグチケットではなく。動作するモデルを持ち、それが安全であることを今証明しなければならないチームのために。
いいえ。安全等級を付与し、システムを認証するのは認定機関または公認評価者です。私がエンジニアリングするのは、その機関が評価するセーフティケースと証拠トレイルです。つまり、ハザード分析、要件分解、アシュアランスケース、V&Vトレーサビリティです。そうでないと主張することは不誠実であり、認定機関はそれを見抜きます。
対象ドメインに適用される規格で行います — 自動車にはISO 26262、航空宇宙にはDO-178C/EASA、産業機能安全にはIEC 61508、ロボットにはISO 10218/13482。エンゲージメントの最初のステップで、適用規格とシステム境界を確定します。
EU AI Actコンプライアンスは、規制のガバナンスおよびドキュメント義務に関するものです。機能的安全認証は、機械の物理的安全性を対象とする別個の、より歴史があり、より深い制度です。安全クリティカルなAIシステムは通常、両方が必要です。このサービスは機能的安全の部分を担います。
30分で状況を診断し、このサービスが合うかどうか正直にお伝えします。合わなければ、何が合うかも。