現代の自動車は、もはや機械としての信頼性や従来のソフトウェア品質だけで評価されるものではありません。これからの自動車においては、AIがいかに不確実な状況下で意思決定を行い、その決定がいかに直接的な物理的動作へと変換されるかによって定義されます。
これは決して理論上の懸念ではありません。AIが認知、計画、制御の深いドメインへと入り込むにつれ、新たな種類のリスクが顕在化しています。それは、従来型のサイバー攻撃、ソフトウェアのバグ、あるいはコンポーネントの故障がなくても、車両が危険な挙動を示す可能性があるということです。
OEMやTier 1サプライヤーにとって、その意味するところは明白です。自動車のサイバーリスクは、もはやネットワークやECUの中に限定されるものではなく、AIの推論プロセスそのものの中にも存在しているのです。
なぜ従来の自動車規格だけでは不十分なのか:ISO 26262/21434の限界
車載システムは、車内すべての埋め込みコンピューティング、センシング、通信、制御、セキュリティ機能を実行しています。これらは、10ミリ秒未満の低遅延、10年以上にわたる長期ライフサイクル、そしてISO 26262(機能安全)やISO/SAE 21434(サイバーセキュリティ)といった厳格な規格への適合という極めて厳しい制約の下で動作します。これらの規格は、基本的に決定論的(同じ条件なら同じ結果になる)で、コンポーネントの境界が明確なシステムを想定しているため、リスクを予測し、封じ込めることが可能でした。
しかし現在、非決定論的な動作を想定して設計されていない車両アーキテクチャに、AIが後付けされています。その結果、認知エラーやモデルのドリフト(変化)がドメインを越えて伝播し、システムレベルの不具合を引き起こす可能性があります。ゾーンアーキテクチャはハードウェアの複雑さを軽減する反面、ソフトウェアの複雑さを増大させ、AIの意思決定と物理的な駆動との間の「信頼の境界線」を曖昧にします。この変化が、自動車のリスクを根本から再形成しているのです。(McKinsey, 2023; Promwad, 2025; Molex, 2025).
車載AIが「安全(セーフティ)」に直結する領域
車載AIとは、クラウドに常時依存することなく、車載コンピューティング基盤上でローカルに動作する機械学習モデル、深層ニューラルネットワーク、およびエージェントシステムを指します。従来の車載ソフトウェアとは異なり、これらのシステムは確率的な出力を生成し、固定ルールではなくデータに基づく学習により挙動が決まります。さらに、OTAアップデートを通じて車両のライフサイクル全体で継続的に進化していきます。こうした特性は、安全性とサイバーセキュリティの両方のリスク構造を根本的に変え、モデルのドリフト、データ汚染、そして導入前に網羅的にテストしきれない挙動といった課題を生み出します。
AIは、認知から物理制御に至る階層的なスタック全体で動作しますが、リスクはAIがアクチュエーション(物理的な駆動)に近づくほど増大します。認知・理解層はセンサー情報を解釈してワールドモデルを構築し、意思決定層が車両の挙動を選択し、物理制御層がステアリング、ブレーキ、加速を通じてコマンドを実行します。上位層でのエラーは認知能力の低下に留まるかもしれませんが、下位層での失敗は即座に物理的被害に繋がり得るため、AI駆動の制御は本質的にセーフティクリティカル(安全に直結する)な要素となります。
現在、車載AIはADAS(先進運転支援システム)、自動運転、ドライバーおよび同乗者のモニタリング、インテリジェントコックピット、予知保全、車載サイバーセキュリティなどに広く導入されています。これらのAI機能が拡張され、モデルがドメイン間で共有されるようになるにつれて、リスクは局所的ではなくシステム全体へ波及する問題となります。結論として、AIが物理的な駆動に影響を与える場合、それは設計、検証、ガバナンス、脅威モデリングの全段階においてセーフティクリティカルな要素として扱われるべきであり、単なるソフトウェア保証ではなく、システム全体の可視性とライフサイクル管理が不可欠です。
認識・計画・実行(SPA)モデル:AI車両の脅威モデリングを再考する
AI駆動の車両は、認知、推論、制御が現実世界の駆動に継続的にリンクされた、クローズドループの「フィジカルAI」システムとして動作します。ロボット工学や自律走行システムで長年使用されてきた「Sense(認識)→ Plan(計画)→ Act(実行)」(SPA)モデルは、こうした車両において安全性とセキュリティのリスクがどのように発生するかを理解するための、明確で実務的なフレームワークを提供します。
ここでの重要な洞察は、物理的な危害を加えるために、必ずしも直接的なシステム侵害は必要ないということです。車両が環境をどのように認識し、動作をどのように計画するかを操作するだけで十分なのです。認識や計画の段階で導入されたエラーやバイアスはシステム全体に連鎖し、車両が高い確信を持ったまま安全でない操作を実行する原因となります。
| 段階 | 機能 | AIの役割 | 自動車における例 | 主な脅威 (2025年以降) |
|---|---|---|---|---|
| 認識 (Sense) | 環境の把握 | 認知ネットワーク、フュージョン | カメラ、レーダー、LiDAR、V2X | 敵対的入力、スプーフィング |
| 計画 (Plan) | 推論と判断 | 経路/行動計画 | E2Eモデル、推論 (VLA) | 目的の不整合、創発的挙動 |
| 実行 (Act) | コマンドの遂行 | ドライブ・バイ・ワイヤ | 操舵、制動、加速 | 上位AIからの信頼性侵害 |
表1:SPAモデルの各段階
フィジカルAIシステムにおいては、ハードウェアの故障よりも、誤った意思決定こそが最も危険な失敗モードとなることが少なくありません。
図1:SPAモデルから見る意思決定ループ全体への脅威の伝播
ISO 26262、ISO/SAE 21434、UN R155といった従来の安全・サイバーセキュリティ規格は依然として重要な基盤ですが、AIが車両の挙動に不可欠な要素となった現在、それだけでは十分とは言えません。これらの枠組みは、予測可能な失敗モードを持つ、確定的なルールベースのシステムのために構築されたものだからです。
AIはリスクモデルを根本から変えます。確率的なデータ駆動型システムは、敵対的操作、ハルシネーション(幻覚)、目的の不整合、創発的挙動といった、従来の安全・サイバーセキュリティ管理だけでは完全に対処できない新しいクラスの失敗をもたらします。その結果、既存の規格は、モデルの完全性、データ汚染、説明可能性、経時的な安全性の低下を考慮したAI固有のリスクフレームワークで補完されなければなりません。この拡張がなければ、規格への適合は達成できても、システム的なAIリスクは管理されないまま残ることになります。
実際のインシデント事例が示すAIリスクの共通パターン
テスラ:AutopilotおよびFSDのインシデント事例
テスラのオートパイロットおよびFSD(フルセルフドライビング)Supervisedシステム(いずれもレベル2)は、システム侵害がなくてもAI駆動のリスクがどのように発生するかを示しています。テスラは良好な総合安全統計を公開していますが、文書化された複数のインシデントからは、特に逆光、霧、塵、低照度といった視界不良条件下におけるエッジケースで持続的な脆弱性があることが確認されています。これらのシナリオは、認知、センサーフュージョン、そしてAIモデルがトレーニングデータを超えて一般化する能力の限界を明らかにしています。こうした懸念から、米国運輸省道路交通安全局(NHTSA)は、FSDを搭載した数百万台のテスラ車両に対する正式な調査を開始しました。調査は、低視認性環境下での挙動やフォールバック制御の妥当性を論点としており、2026年初頭時点でも継続されています。
図2:SPAモデルから見るテスラAutopilot/FSDのインシデント
事例からの学び
これらのリスクは、意思決定ループ全体にわたる対策強化の必要性を示しています。堅牢なシナリオ検証、不確実性を考慮した意思決定、リアルタイム異常検知、低信頼状況の明示的な取り扱い、そしてAIの誤判断が物理的危害に繋がるのを防ぐためのドライバーモニタリングの強化が重要です。
GM Cruise:ロボタクシーによる歩行者事故の事例
2023年10月2日、サンフランシスコでCruise社が運行する完全無人(レベル4)ロボタクシーが歩行者に重傷を負わせる事故が発生し、AIの認識、意思決定、インシデント対応ガバナンスにおける致命的な弱点が露呈しました。この事故は、歩行者が別の手動運転車両に衝突されロボタクシーの進路へ投げ出された際に、Cruise車両は低速で接触したものの即座に緊急停止するのではなく通常と同じ路肩停車操作を実行し、停止するまで約20フィート(約6メートル)の間、歩行者を引きずったとされています。 この事故により、Cruise社は即時の運行停止と規制当局による継続的な行政処分、長期的なガバナンス面での影響を被ることとなりました。カリフォルニア州の規制当局は同社の無人運転許可を停止しただけでなく、全米でロボタクシー運行の一時停止が余儀なくされました。またその後の調査の結果、カリフォルニア州公共事業委員会による罰金や、NHTSAとの民事和解(是正措置、報告体制の強化、継続的な規制当局の監視などを含む)といったペナルティも課されました。
図3:SPAモデルから見るGM Cruise社のロボタクシー歩行者接触事故
事例からの学び
この事故は単一点の障害によるものではなく、 「認識(Sense)→ 計画(Plan)→ 実行(Act)」にわたる連鎖的な破綻でした。認識エラーが安全でない計画へとつながり、それが制御システムによって正確に実行されてしまったのです。これはフィジカルAI特有のリスクを象徴するものであり、 上位層でのAIの意思決定が誤っていれば、機械的な故障やサイバー侵入がなくても下位システムが現実世界で危害を引き起こし得るということを示しています。
フィジカルAI時代における重要な示唆
既存の自動車規格はAI時代に即した規格へ:ISO 26262、ISO/SAE 21434、UN R155といった枠組みはいずれも重要な基盤ですが、これらは決定論的なシステムを対象に設計されたものです。AIが車両挙動に不可欠な要素となる中で、これらの規格は、安全なトレーニング、OTA経由のモデルの完全性、実行時モニタリング、導入後の検証を含む、AIモデルのライフサイクル管理を対象にできるよう拡張されなければなりません。
車両を「フィジカルAIシステム」として扱う:リスクモデルは、もはや予測可能なルールベースのロジックを前提にできなくなりました。AI駆動の車両は確率的に判断し、状況によって挙動が変わり、その結果が物理的な駆動に直結します。だからこそ、リスク管理ではAIの不確実性、経時的な劣化、想定シナリオ外での挙動まで含めて扱う必要があります。
AIライフサイクル全体にわたるガバナンス:実効性のある監視は、データ収集やモデルトレーニングから、検証、導入、フィールド監視、再学習に至るまでを網羅する必要があります。コンポーネント単体のテストだけでは不十分であり、エッジケースや実環境でのデータ分布の変化をカバーする、システムレベルのEnd-to-End検証が必須となります。
セーフティクリティカルなAIのための新たな保証アプローチ:従来のテストに加え、セーフティケース、説明可能性、トレーサビリティ、継続的なリスク評価といったAI固有の保証メカニズムによる補完が必要です。UL 4600、NIST AI RMF、ISO/IEC TR 5469:2024といった枠組みは、AI駆動システムが運用中も許容可能な安全性を維持していることを示すために不可欠なものになりつつあります。
共有AIによるシステムリスクの増幅:認知や計画のモデルがADAS、自動運転、ドライバーモニタリング、コックピットシステムなどの間で再利用されるため、敵対的入力、データ汚染、モデルドリフトといった単一の弱点が複数のセーフティクリティカルなドメインへ連鎖する可能性があります。AIのリスクはもはや局所的なものではなく、本質的にシステム全体、ひいてはフリート全体のリスクとなります。
OEM・Tier1サプライヤーおよび業界への提言
OEMおよびTier 1サプライヤー向け対策
- AIネイティブな脅威モデルの採用:すべてのAI搭載車両システムのEnd-to-Endのリスク分析・管理のため、「認識(Sense)→ 計画(Plan)→ 実行(Act)」を主要なフレームワークとして活用します。
- 実行時のAI完全性監視:不確実性、信頼度、異常、未知の条件下での挙動を継続的に監視し、安全でない状態になる前に劣化を検知する仕組みを導入します。
- 厳格な安全境界の強制:AIの出力と物理的な駆動部の間に、安全モニター、冗長コントローラー、および拒否メカニズムを含む明確な信頼の境界を定義します。
- 設計によるAI挙動の制約:AI内部の信頼度に関わらずAIの動作を制限する「セーフティ・エンベロープ(安全枠)」を設定し、不確実な状況下でもフェイルセーフな挙動を確保します。
- 説明可能性とフォレンジック対応力の確保:インシデント分析、規制報告、責任の所在を明確にするため、すべてのセーフティクリティカルなAIにおいて、説明可能な意思決定と包括的なログの記録を要件化します。
- CSMSへのAIガバナンスの統合:バージョン管理、ドリフト検知、敵対的堅牢性テスト、安全なOTAパイプラインといったモデルのライフサイクル管理を、サイバーセキュリティ管理システム(CSMS)に統合します。
規制当局および標準化団体向け対策
- AIと自動車規格のハイブリッド化の加速:確率的な挙動、モデルの脆弱性、創発的なリスクに対処できるよう、AIリスクフレームワークを既存の自動車規格と統合します。
- AI固有の安全保証の要求:高度な自動化レベル、特にAIが物理的な制御に直接影響を与える領域では、セーフティケースや確率的なリスク根拠の提示を義務付けます。
- インシデントの透明性に関する要件強化:セーフティクリティカルなAI事案発生後に求められるデータ開示と報告の対応期限を明確に定義します。
業界横断的な連携に向けて
- 難解なケースを検証するためのデータ共有:安全性とセキュリティに関連する、敵対的条件、ドメインシフト、ロングテールのエッジケースに焦点を当てた共通データセットを整備します。
- AIレッドチーミングの標準化:認知および計画システムに対する物理世界の攻撃を想定した、第三者試験やレッドチーム演習を拡げていきます。
結論:信頼できるフィジカルAIの実現へ
自動車はもはや、ソフトウェアによって強化された機械製品ではありません。不確実性が常態化しているオープン環境において、リアルタイムかつ大規模に認知・推論・実行を行う、ネットワーク化されたフィジカルAIシステムです。この現実は、自動車のリスクの性質を根本から変えています。決定論的な前提、リリース前の網羅的テスト、サイバーとフィジカルの明確な分離に基づいた従来の安全性・サイバーセキュリティモデルでは、AI駆動の意思決定のスピードに追随することはできません。
進むべき道は、既存の規格を捨てることではなく、それらを超えて進化させることです。AIを前提にした脅威モデリング、ライフサイクルに基づくガバナンス、継続的な検証、実行時の可視性はもはや後回しにできるものではなく、中核の取り組みにならなければなりません。「認識→計画→実行」のようなアプローチ、ハイブリッドなリスクフレームワーク、継続的なモデル保証は、プロセスの負担を増やすためのものではありません。それは、本質的に確率的であるがゆえに制御が難しいシステムにおいて、制御性と予測可能性を取り戻すためのものなのです。
最終的な目標は単なる規制への準拠ではなく、公道での回避可能な危害を防ぎつつ社会の信頼を獲得し維持できるような、「信頼に足る、説明可能で、レジリエントな」AI搭載車両を実現することです。車載AIから安全でスケーラブルなフィジカルAIへの移行が、今後10年間の競争優位性を左右することになるでしょう。この変革をリードする企業は、規制要件を満たすだけでなく、AI時代における「信頼できるモビリティ」の基準そのものを確立することになるでしょう。
