検証の階層（MIL/SIL/PIL/HIL/VIL）とは — 自動運転検証の全体像

自動運転システムの検証は、単一の手法では完結しない。モデル・ソフトウェア・チップ・実機・実車の各レベルで異なる手法が必要で、それらを階層的に統合して初めて安全を論証できる。本記事は、MIL→SIL→PIL→HIL→VILという5段階の検証階層の役割、AI時代に検証コストの重心がどこへ移るのか、認証でどう位置づけられるのかを整理する。結論を先に言えば、検証は「SILに投資し、HIL/VILを最小化する」方向へ収束しつつあるが、最高水準の認証の最終証拠としての実機検証は当面残る。

検証階層とは何か

検証階層とは、抽象度の異なる5段階（モデル・ソフト・チップ・実機・実車）で検証手法を使い分け、統合して安全を論証する枠組みである。これは機能安全（ISO 26262）のV字モデルの具体的な実装にあたる。

5段階の役割

各段階は、検証する対象と「現実への近さ」が異なる。

開発の早い段階（MIL/SIL）でバグを見つけるほど修正コストが小さい——この「早期に寄せる（シフトレフト）」発想が、検証戦略の基本になる。

SILがクラウドで効く——AI時代の検証の中心

5段階のうち、AI時代に最も重要性が増しているのがSIL（ソフトウェアレベルの検証）である。コンパイル済みソフトを仮想環境で実行するため、実機に依存せず、クラウド上で大規模に並列実行できる。1台の実機ベンチで1日にこなせるテストを、クラウドのSIL環境では桁違いに並列実行できる。膨大なパラメータを持つAIモデルの、数百万に及ぶシナリオ検証には、このクラウドSILが不可欠だ。実機チップの量産開始前にSILで検証を終えておくことは、調達遅延などのスケジュールリスクの低減にもつながる。

チップ・実機・実車——現実に近づける段階

PIL以降は、仮想環境では捉えられない現実の要素を検証する。PILでは実チップ上で、プロセッサ固有の演算精度やタイミングを検証する。とくにAI推論モデルを軽量化（量子化）した後の精度検証は、チップ固有の演算に依存するため、PILが欠かせない。HILは実機を接続し、物理的な応答遅延や最悪実行時間を含めて検証する、最高水準の機能安全認証の最終ベンチだ。自動緊急ブレーキの応答時間、ドライバー監視の精度、安全停止動作（最小リスク状態（MRC）への移行）といった安全クリティカルな要件は、HIL上の実時間検証なしには認証の証拠と認められない。VILは実車に仮想の交通環境を重ね、車両ダイナミクスを含む最も現実に近い検証を行う。

認証での位置づけとAI時代のコスト構造

ADAS/自動運転の検証コストは、AIの台頭で構造が変わりつつある。従来のルールベースではコードの網羅率がテストの十分性を示したが、膨大なパラメータを持つAIモデルには網羅率の概念が適用できない。そこで業界は「SIL段階での大規模なシナリオベース検証」へ投資を集中させている。生成AIで合成シナリオを作り、クラウドSILで大量に並列検証し、統計的に安全性を評価する——この流れが中心になりつつある（詳しくはシナリオベース検証）。シミュレーション結果を認証の証拠として使う枠組み（仮想ホモロゲーション）も整備されつつある。

ただし、最高水準の認証の最終証拠としての実機検証（HIL）と、型式認証で求められる実車検証（VIL）の役割は当面残る。検証は「SIL主体＋HIL最終検証＋VIL型式試験」という三層構成へ収束していくと見られる。

まとめ：検証は「SILに寄せ、実機を最小化」へ

検証階層の要点は、5段階を役割で使い分け、AI時代にはSILへ投資を集中させつつ、最高水準の認証の最終証拠として実機検証を残すことにある。自社で具体化する際の論点は次のあたりだ。

• どの検証をSILに寄せ、どこから実機（PIL/HIL/VIL）に移すか。
• AIモデルの軽量化後の精度を、チップ上でどう検証するか。
• シミュレーション検証を、認証の証拠としてどう位置づけるか。

機能安全のV字モデルはISO 26262と機能安全・ASILの構造を、シナリオの体系化はシナリオベース検証を、シミュレーション認証は仮想ホモロゲーションをあわせて参照してほしい。自社の検証基盤に即した階層設計は個別性が高く、具体化の段階では外部の視点を入れると論点整理が速い。