왜 자율주행의 안전성이 중요해지는가?현재 자율주행 기술 개발은 활발히 진행되고 있으며 다양한 센서를 활용한 자율주행 기능을 갖춘 차량의 보급도 확산되고 있습니다.
이미 운전자에게 익숙한 첨단 운전자 보조 기능인 ADAS 시스템부터 테슬라 오토파일럿, 현대차 HDP 시스템과 같은 자율주행 3레벨이 적용된 다양한 차량도 판매돼 도로에서 흔치 않게 마주치는 상황이 됐습니다.
<그림 1> 자율주행 상용화에 박차를 가하는 완성차 업체
자율주행자동차는 운전자 대신 도로주행에 대한 전략을 세워야 하기 때문에 인지, 판단, 제어의 3가지 동작으로 기능하며, 각 단계에서 인지오류, 판단오류, 제어오류가 발생할 경우 사고가 발생할 수 있습니다.
인기글
![[Tech&Market] 자율주행자동차 속 과학기술의 현재와 미래, 그리고 정책방향!](https://imageio.forbes.com/specials-images/imageserve/61d52d4e3a76ed81ac034ea8/The-10-Tech-Trends-That-Will-Transform-Our-World/960x0.jpg?format=jpg&width=960 "[Tech&Market] 자율주행자동차 속 과학기술의 현재와 미래, 그리고 정책방향!")
![연구실 배정, 바이두 a poll o, 테슬라, 공부 및 연구 방향 [청화대 생활] 자율주행 분야 석사생의 1학기 일상 1:](https://blog.kakaocdn.net/dn/HJe1g/btrAp48Epj3/g4xbT2kXZW9aY8VPR3Q351/img.jpg "연구실 배정, 바이두 a poll o, 테슬라, 공부 및 연구 방향 [청화대 생활] 자율주행 분야 석사생의 1학기 일상 1:")
실제 테슬라의 자율주행 기능이 탑재된 전기차가 출시된 2014년 이후 테슬라를 비롯한 많은 기업들이 자율주행 기술 상용화를 위해 수많은 도로 주행을 진행해 왔지만 잦은 인명사고가 발생하고 있습니다.
이처럼 자율주행차 인명사고로 인해 사람들은 자율주행 기술에 대한 안전성에 관심을 가지고 있습니다. 이와 관련하여 자율주행 기술의 안전성에 관한 표준인 ISO 21448/SOTIF에 대해 간략히 살펴보겠습니다.
SOTIF 표준 도입 계기 자율주행 레벨 1~2라고도 불리는 첨단 운전 보조 기능인 ADAS 시스템의 경우 차량에 설치된 다양한 센서의 정보로 주변 정보를 파악해 운전자의 판단을 돕고 제한적이지만 차량 제어를 하고 있습니다.
이러한 ADAS 시스템의 복잡한 알고리즘 처리 때문에 차량에 다양한 전기/전자 시스템과 SW 비중이 높아지고 높은 복잡도로 인해 해결하지 못한 잠재적인 기능 오류로 인한 사고도 늘어나게 되었습니다.
<그림 2> 점점 복잡해지는 차량의 센서와 알고리즘
자동차에 탑재되는 다양한 컨트롤러(ECU)의 잠재적 기능 오류로 발생하는 사고를 예방하기 위해 SW, HW 설계 사양 정의, 시스템 검증 등을 다루는 자동차 기능 안전 국제 규격인 ISO 26262가 발표됐습니다.
그러나 이 같은 규격 도입에도 불구하고 자율주행차 인명사고는 꾸준히 증가하고 있어 운전자의 안전이 위협받고 있는 상황입니다.
<그림 3> 지속적으로 발생하는 자율주행 사고
이처럼 SW, HW 고장이 아닌 자율주행 기능이 갑작스러운 주변환경 변화에 대응하지 못해 인지센서가 장애물을 인식하지 못하거나 오인식하는 SW 알고리즘의 비중이 늘어나 SW 문제로 발생하는 인명사고가 늘고 있습니다.
<그림 4>햇살의 문제? 테슬라 인식 문제로 인한 사고 발생
이러한 문제점은 기존의 전기/전자 시스템에서 발생하는 오류를 예방하기 위해 발표된 ISO 26262가 다루는 것과는 전혀 다른 분야에서 발생하는 문제이며, 이를 극복하기 위해 ISO 21448, SOTIF 표준이 발표되었습니다.
자율주행의 안전한 주행을 보장하기 위한 활동?안전한 주행을 보장하기 위한 시스템(HW 및 SW)을 만드는 것은 현실적으로 불가능합니다. 대부분의 위험은 사람들이 예기치 못한 상황에서 발생하기 때문입니다.
따라서 SOTIF가 지향하는 안전한 주행의 경우 모든 위험에 대해 보장할 수 있는 시스템이 아닌 사람들이 납득할 수 있는 수준의 위험에 대해 대응할 수 있는 방법에 대해 다루고 있습니다.
<그림 5> SOTIF는 가능한 한 많은 리스크 시나리오에 대응하는 것이 목적
SOTIF는 ISO 26262와 달리 기능 자체가 결함 없이 잘 구현되고 있음을 확인하는 것이 아니라 의도한 설계 자체가 안전 확보가 미흡, 부적절한 경우임을 확인하는 것이 목적입니다.
예를 들어 실제 차량의 안전과 직접적인 관계가 있거나 복잡한 센서나 처리 알고리즘을 통해 이루어지는 상황인식 기능과 같은 경우에 적용할 수 있습니다.
<그림 6> ISO 26262 / ISO 21448의 차이 예
리스크에 대응하기 위한 SOTIF의 활동 3가지 적절한 수준의 리스크 관리를 위해 SOTIF는 크게 3가지 활동을 수행합니다.
- 리스크 관리를 위한 요구사항을 정의하는 ‘설계단계’ SOTIF에서 제안하는 다양한 기능 개선책을 적용하여 평가된 리스크 항목의 회피, 감소, 완화를 목적으로 기능(요구사항) 개선을 실시합니다.
<표 1> 요구사항 및 기능 개선 방법론
<표 2> 요구사항 및 기능 개선 예
2) 요구사항 자체가 실제 리스크에 대해 적절하게 대응하고 있는지를 확인하는 ‘검사 단계’
<표 3> 검사 및 타당성 검증 단계 활동 도출 방법위의 표 2에 명시된 다양한 방법론을 적용하여 요구사항 및 설계 단계에서 정의된 기능별 요구사항이 잠재적 위험에 대처하기 위해 적절하게 설계되었음을 확인합니다.
3) 검증된 요구사항이 기타 돌발상황에서 심각한 위험을 발생하는지 지속적으로 확인하는 타당성 ‘검증단계’ 1, 2단계를 거친 각 요구사항이 고려된 위험항목 외에 추가적인 위험동작으로도 정상적으로 대응가능한지 시뮬레이션 시험주행 등을 반복하면서 기능에 대한 동작을 확인합니다. (방법론 자체는 2단계 검증단계 활동 도출방법을 활용합니다.)
지금까지 SOTIF가 도입된 계기와 그 목적, 이를 달성하기 위한 리스크 분석 활동에 대해 간략히 살펴보았습니다.
SOTIF의 경우 실제 제품(HW, SW)에 대해 스스로 그 취약성을 찾아내 해당 문제점이 인명사고와 같은 심각한 위험원인임을 인정하고 이를 수정해야 하는 과정을 거쳐야 하는 만큼 많은 기업에서도 다루기 어렵습니다.
하지만 자율주행 기술 상용화를 통한 많은 운전자가 자율주행 기술에 노출되는 시간이 많아지는 만큼 이러한 표준 적용을 통해 운전자의 안전을 확보하는 노력이 지속적으로 필요할 것으로 보입니다!
<그림의 출처>
그림1 제네시스 G90, 국내 최초 ‘레벨3 자율주행’…OTA에서 가장 빠른 업그레이드! – 모터그래프(motorgraph.com)
그림2TQMS|ISO262,트렌드-KOTRA 해외시장 뉴스상품·산업|트렌드
그림 3 [스페셜 리포트] ③ 자율주행차, 어떤 사고가 났나 <산업 <기사 본문 – AI 타임스 (aitimes.com), 우버 자율주행차 사망사고는 소프트웨어 책임? – 뉴스톱(newstof.com)
그림 4 테슬라 S 햇빛에 하얀 식별 오류 돌발상황의 약점도 | 중앙일보(joongang.co.kr), 테슬라 사고, 태양 역광 때문 자율주행차, 또 날씨 오작동 | 중앙일보(joongang.co.kr)
표 1, 2, 3 : ISO 21448 문서
<참고논문> 김영민, 자율주행자동차 안전성 확보를 위한 RSS모델 및 ISO/DIS21448 (SOTIF) 통합 프로세스 구축에 관한 선행연구, Journal of KOSSE., 2021.12 JAKO202104851364564.pdf(koreascience.or.kr)