ISO/PAS 8800とは — 車載AIの安全規格と「データ」の安全保証
ISO/PAS 8800は、自動車の安全関連システムにおけるAI・機械学習の統合を扱う、世界初の包括的なガイドラインである。機能安全のISO 26262とSOTIFのISO 21448を補完する「第三の安全規格」として、AIが安全に関わるSDV(ソフトウェア・デファインドな車)開発の前提になりつつある。本記事は、ISO/PAS 8800が何を対象とするのか、なぜ「コードからデータへ」安全保証の重心が移るのか、SDVアーキテクチャとどう接続するのかを整理する。結論を先に言えば、この規格の核心は「AIモデル単体では安全を保証しきれない」という前提に立ち、データの品質とアーキテクチャの両面から安全を論証する点にある。
ISO/PAS 8800とは何か
ISO/PAS 8800:2024とは、AIの特性(データ依存性・確率的挙動・不透明性)に起因する「機能的不足」を管理するための、車載AIの安全規格であり、2024年12月に発行された(出典:ISO/PAS 8800:2024)。正式規格の前段階の公開仕様(PAS)として発行されており、移行期間を経て正式なISO規格へ昇格する見込みである。
三つの安全規格の補完関係
ISO/PAS 8800は、既存の二規格と役割を分担する。整理すると次のようになる。
| 規格 | 対象とするハザード |
|---|---|
| ISO 26262(機能安全) | 故障(ランダムなハード故障・体系的なソフトのバグ) |
| ISO 21448(SOTIF) | 故障なき性能限界(センサー検知限界・仕様の不足) |
| ISO/PAS 8800(AI安全) | AI特有の機能的不足(データとモデルの不備) |
たとえば「学習データに無い対象を誤分類する」「逆光で歩行者認識精度が落ちる」「学習範囲外の入力に予期しない出力を出す」——これらは故障でも単なる性能限界でもなく、AI特有の「データとモデルの不備」に起因する。ISO/PAS 8800はこの領域を直接扱う安全ライフサイクルを定義する。
「コード」から「データ」へ——データライフサイクル要件
ISO/PAS 8800の最大の特徴は、従来のソフトウェア開発で「コード」が担っていた役割を「データ」が担う、と明文化した点にある。学習用・検証用・評価用・実運用・市場監視用といったデータセットを厳密に分類し、それぞれの品質と追跡可能性(トレーサビリティ)を保証することを求める。
この要件はAI開発運用(MLOps)の設計に直接効く。データのバージョン管理、実験の追跡、そしてAI安全論証の継続的な更新が、ISO/PAS 8800準拠の開発体制に不可欠になる。安全保証の重心が、書いたコードの正しさから、使ったデータの代表性・品質へ移る、ということである。
GSNによるAI安全論証——「静的な文書」では足りない
ISO/PAS 8800は、AIの安全性を体系的に論証する文書(AI安全論証)の構築に、目標と根拠を階層的に図示する手法(GSN)の使用を例示する。最上位の安全目標から、それを支える戦略・前提・証拠までを論理的につなぐ手法だ。
重要なのは、この論証が静的な文書ではなく、MLOpsと連動した動的な仕組みでなければならない点である。AIが未知の入力に遭遇してデータ分布が変化すると、初期の前提が崩れうる。その場合、ログ記録→安全側への退避→再学習→OTA更新→論証の更新、という継続的なループが必要になる。安全保証は「一度作って終わり」ではなく、運用しながら維持し続けるものになる。
SDVアーキテクチャとの接続——AIを「封じ込める」設計
ISO/PAS 8800が求める「AIモデル単体で安全を保証できない場合は、冗長なフェイルセーフ機構と組み合わせてシステム全体で安全を論証する」というアプローチは、安全度で領域を分けるアーキテクチャと構造的に整合する。
形式検証済みのseL4上の決定論的な安全制御領域が、AI推論領域の出力を監視・制約・封じ込める設計は、AI安全論証における最大の「証拠」になる。「AIは誤りうる。しかしアーキテクチャ全体としては、形式検証済みの介入によって最高水準の安全が確実に担保される」——この論証体系が、AI時代の認証取得の鍵になる。安全度の異なる機能を同居させる混在クリティカリティの設計が、その土台を与える。
認証の現状
新しい規格だけに、先行して認証実績を積む動きが始まっている。あるTechnical Serviceは2025年、あるメーカーに対して車載AI安全プロセスの世界初のOEM認証を発行した。これは機能安全・SOTIF・ソフトウェア開発プロセス成熟度の各認証を統合した「全領域の安全フレームワーク」が評価されたものである。また半導体IP製品の領域でも製品レベルの認証取得が始まっており、AIの安全がアルゴリズムだけでなく、データを伝送する物理層やセキュリティとも不可分であることを示している。認証機関ごとにAIの不確実性やデータ代表性の判定基準にまだ差があり、その解釈差が認証戦略の変数になる(本記事は特定メーカーの優劣や具体的な費用・期間は断定しない)。
まとめ:ISO/PAS 8800は「データとアーキテクチャ」で安全を論証する
ISO/PAS 8800の要点は、AI単体では安全を保証しきれないという前提に立ち、データの品質管理と、AIを封じ込めるアーキテクチャの両面から安全を論証することにある。正式規格化に向けて要件が厳格化する可能性もあり、早期の対応が現実的だ。自社で具体化する際の論点は次のあたりだ。
- データセットの分類・品質・追跡可能性を、MLOpsにどう組み込むか。
- AI安全論証を、運用と連動した動的な仕組みとしてどう維持するか。
- AI推論を、形式検証済みの安全制御でどう監視・封じ込めるか。
機能安全はISO 26262と機能安全・ASILの構造を、性能限界の安全はISO 21448(SOTIF)と想定外動作の安全を、安全保証の数学的手法は形式検証とはをあわせて参照してほしい。自社のAI開発体制に即したISO/PAS 8800対応は個別性が高く、具体化の段階では外部の視点を入れると論点整理が速い。