자율주행차를 위한 Hazard Analysis & Risk Assessment
향후 다양한 접근방식 나올 것으로 기대
2017년 09월호 지면기사  / 글│한 승 용 _ jasmine77@empas.com, MDS Technology

ISO 26262 제2판 제정 
ISO 26262가 발효된 지 6년 가까운 시간이 흘렀다. 일반적으로 ISO 규격은 5~6년마다 개정되는 데, 이와 궤를 같이 하여 ISO 26262도 오는 2018년 제2판 제정을 앞두고 있다. 국내에서도 ISO 26262 개정판 발표를 앞두고 대응의 필요성에 공감하고 다양한 행사를 진행하고 있다.
개정판에서는 기존 ISO 26262에서 제시하고 있는 차량의 범위가 사실상 사라진다. 운전자 포함 9인, 3,500 kg 이하였던 조건이 버스와 트럭, 나아가 4개미만의 바퀴를 가진 모터사이클까지 확대되며 그간의 보안 이슈를 반영한 사이버 보안(Cyber Security) 부분이 Part 4: System Level의 개발에 포함돼 전개된다. 또한 Part 6: Software Level의 개발에서 명확한 가이드라인이 없어서 논란이 됐던 Software의 안전 분석 부분도 별도의 Annex로 추가될 예정이다1. 그리고 제1판 Part 10의 Clause 9 SEooC의 개념과 함께 Annex A에서 Informative로 다루어졌던 내용인 반도체를 대상으로 한 ISO 26262 적용분야가 제2판에서는 새로이 Part 11에 추가됐다(그림 1 참조).
 
 
당초 계획은 2018년 1월경에 제2판 발표가 이루어질 예정이었으나, 일부 일정 지연 요소가 발생해 2018년 2분기 내에 발표될 것으로 예상한다.
 
자율주행차와 ISO 26262
자율주행차는 현재 ADAS와 함께 자동차 산업 전반에 가장 큰 이슈다. 특히 자율주행차를 ISO 26262에서 제시하는 요구사항에 따라 개발하는 방법론이 최근 Global OEM들을 중심으로 진행되고 있다. 기존 혹은 새로 제정되는 ISO 26262의 Part 4, Part 5, Part 6의 경우 제1판 ISO 26262에서 요구하는 부분에서 크게 변동되는 내용은 없으나, Part 3의 경우 자율주행차의 특성을 충분히 반영해야 하기 때문에 다양한 방법을 활용한 접근이 이루어지고 있다.
그림 2는 미국 도로교통안전국(NHTSA)2에서 제안하고 있는 자율주행차 등급이다.
 
 
 
Level 3부터 자율주행 개념이 포함되기 시작한다. ISO 26262 Part 3에 따르면, 자동차 개발의 Concept 단계에서 기능의 오작동 행위(Malfunctioning Behavior-ISO/DIS 26262-3:2016 Clause 6.1.a)로 인해 발생할 수 있는 위험원을 식별하고, 이에 대한 Risk에 대한 평가를 수행하라고 제시하고 있다.
다만, Level 3 이상 자율주행차의 경우 ISO 26262의 HARA 수행 후 부여되는 Severity, Exposure, Controllability에 대해 명확하게 정의 내리기가 어렵다. SAE J2980: Considerations for ISO 26262 ASIL Hazard Classification을 통해 Severity와 Exposure를 결정하고, 필요시 독일 자동차협회3에서 발행한 VDA 702: Situationskatalog E-Parameter nach ISO 26262-3를 참고해 Exposure를 결정한다고 하더라도 차량의 제어를 차량 스스로 하고 있는 경우에 대해서는 Controllability에 대한 등급을 쉽게 결정할 수 없다.
바꾸어 말해, 자율주행을 제어하는 제어 시스템에 대한 불확실성이 증가하고, 자율주행차에 탑재되는 Item에 대한 기능의 정의가 정확하게 식별되었다고 하더라도, 주행 상황을 판단하는 Algorithm에 의해 운전자가 의도하지 않는 방향으로 재현이 될 가능성이 있다. 이러한 불확실성은 자율주행차가 가지고 있는 특수성 중 하나인 “재현 불가능성”에서 기인한다. 즉 동일한 구간을 약간의 시간차를 두고 주행한다고 해도 동일한 조건이 형성되지 않기 때문에 “인지 우선순위(Recognition Priority)” 등과 같은 중요 Factor에 의해 무수히 많은 변수를 가지게 된다.
 
자율주행차의 HARA
이에 따라 HARA 수행 방식에도 불가피한 변화가 필요할 것으로 예상된다. 특히, Global OEM 중 한 곳에서는 기존 방식의 HARA를 일부 변형하는 방식으로 자율주행차에 대한 HARA 대응을 준비하고 있다.
위 업체의 HARA는 상황 분석과 위험의 식별 S/E/C 등급의 결정이라는 Process는 동일하나 자율주행차의 특수성을 최대한 반영한 방식으로 다음과 같은 순서로 진행된다.
 
1. Situation Analysis: 상황 분석(그림 3 참조)
A. Situation Tree를 활용해 차량 수준/주행 환경/환경 인자 등 예상 가능한 주행 환경(상황)을 식별
B. 식별된 상황들의 조합을 통해 위험한 사건(Hazardous Event)를 생성
C. 위의 정보를 취합해 Initial HARA(초안 HARA) 수행(단, 차량 스스로 차량의 제어권을 확보하고 있는 경우 모든 Controllability 등급은 최고 등급의 경우 “3”을 부여)
 

 
2. Hazard Identification: 위험의 식별 
A. 도출된 위험에 대한 초안 수준의 ASIL 등급 부여
B. 유사한 Hazard 또는 Hazardous Event의 통합 혹은 분리
C. 상세하게 도출된 Hazard 또는 Hazardous Event를 대상으로 Severity, Exposure 등급 재산출(그림 4 참조)
 
 
전체적인 Process는 기존 제1판 ISO 26262와 크게 다르지 않다. 다만, 자율주행차가 대상임을 감안해 초안 수준에서 개발하고자 하는 Item의 예비 기능 정의를 기초로 HARA를 수행하되 정확한 기능의 구현이 되는 시점까지 HARA를 반복적으로 수행해 최종 ASIL을 결정하는 흐름으로 진행된다(그림 5 참조).
 
 


ISO 26262 Part 3에서 요구하는 Hazard Analysis and Risk Assessment는 새로운 Item을 개발하는 과정 중 최초로 이루어지는 활동이다. 자율주행차도 ISO 26262에 대응해야 하는 것은 불가피한 과정이나, 현재까지 자율주행차를 대상으로 한 명쾌하게 정의된 Hazard Analysis and Risk Assessment는 없다고 봐도 무방하다. 앞서 설명한 반복적 HARA 수행을 통한 Safety Goal의 Refine 방식 이외에도 사전 정의된 Hazard Category를 이용해 자율주행차의 Hazard를 구체화시키는 방식으로 진행하는 접근방법 역시 수행되고 있다. 바꾸어 말해, 향후에도 자율주행차에 대한 HARA 수행은 다양한 접근방식이 나올 것으로 예상된다.
 
 
<각주>
1 ISO/DIS 26262-6:2016 기준 Annex E에 추가되며, Informative로 제공된다.
2 자율주행차에 대한 등급은 크게 미국 도로교통안전국(National Highway Traffic Safety Administration, NHTSA)과 미국 자동차협회(Society of Automotive Engineers, SAE)에서 제시한 방법이 있으나, SAE에서 추가로 분류한 Level 5의 경우 운전자가 원하는 장소로 차량을 호출할 수 있는 단계인 “무인(Driverless)” 주행의 개념이 포함돼 있어, 본고에서는 NHTSA의 등급을 사용함.
3 독일 자동차협회(Verband der Automobilindustrie e.V., VDA)
 



AEM_Automotive Electronics Magazine


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP