이것이 ′자동주행의 12계명′이다
새첨, 유로 NCAP과 고속도로 자율주행 평가 제도화 착수…
2019년 11월호 지면기사  / 글|한상민 기자_han@autoelectronics.co.kr



Twelve Commandments For Automated Driving
자동주행의 12계명
새첨, 유로 NCAP과 고속도로 자율주행 평가 제도화 착수…
Thatcham Research Matthew Avery  새첨 리서치 매튜 에이버리 리서치 센터장

새첨 리서치와 ABI는 최근 SAE 레벨 3 조건부 자율주행 차량 관련 사용자(운전자) 안전을 유지하기 위한 차량 디자인 방법을 명확하게 규정한 ‘안전한 자동주행의 정의’란 도큐멘트를 발행했다. 여기에는 자동주행 시스템의 네이밍, 사용자 트레이닝, 자동주행 기능의 시작과 종료, 사이버 보안 및 데이터에 대한 12가지 핵심 요구사항이 담겨 있다. 이 문서는 이들 요건을 평가할 수 있도록 개발 중인 테스트 절차와 함께 자율주행의 기초를 형성할 것이다.
 
글|한상민 기자_han@autoelectronics.co.kr

*AE는 ‘autonomous’와 ‘automated driving’을 구분하기 위해 자율주행, 자동주행이라고 표기했다. 새첨의 안전한 자동주행의 정의(Defining Safe Automated Driving)에서는 운전자가 모드 변경 외에는 주행 제어를 하지 않는 사실상 승객이 되는 ‘자율주행(autonomus)’을 자동주행(automated)과 구분했다. 이에 따르면, 자동주행에서 운전자는 운전 외 다른 2차 태스크를 할 수 있지만, 제어권 반환을 위해 준비가 돼 있어야 한다.





Q. 과도기인 SAE 레벨 3 시스템과 이후의 자동주행, 자율주행 기술 도입과 관련해 새첨과 이사님은 어떤 책임을 갖고 있습니까?
A. 레벨 3 자동주행 기술은 현재의 운전자가 통제하는 차량과 자동차가 스스로 통제하는 미래 사이의 경계에 있습니다. 이는 미래의 주행 안전성에 큰 영향을 미칠 수 있으며, 언제나 그렇듯이 새로운 기술은 사용자를 혼란스럽게 해 위험성을 악화시킬 수 있습니다. 한편, 보험회사는 위험을 보상해야 하기 때문에, 사람들이 이 기술을 제대로 이해하고 사용할 수 있도록 보장해야 할 뿐만 아니라, 자동차 제조업체들이 안전하지 않은 시스템을 시장에 서둘러 도입하지 않도록 해야 합니다. 새첨 리서치는 유로 NCAP 참여를 통해 보험사와 소비자 모두에 대한 뷰 포인트를 제공하고 있습니다.

 
Q. 우리는 운전자 지원 시스템이 얼마나 불안정한지 알고 있습니다. 이사님은 자동차 제조업체가 레벨 3 시스템이라고 주장하는 여러 모델들을 이미 경험했을 것입니다. 이러한 고속도로 자동주행 시스템에 대한 자동차 산업의 기술 발전과 정신적 자세가 얼마나 성숙했다고 보십니까?
A. 현재 전 세계의 자동차 제조업체와 정부는 최초로 도로에 자동주행이 도입되길 간절히 바라고 있습니다. 때문에 이러한 시스템이 완벽하게 개발되지 않거나, 그 기능을 운전자가 감시하는데 의지하는 위험도 존재할 수 있을 것입니다.
반대로 운전자들은 이 자동화된 차량이 사람이 운전하는 것처럼 생각하고 동작할 수 있다고 믿을 수 있습니다. 그리고 이것은 위험하고 예측할 수 없는 상황으로 이어질 수 있습니다. 저는 아직까지 제가 안전하다고 믿는 레벨 3 수준의 기술을 보지 못했습니다.


Q. 고속도로 자동주행을 달성하는 데 있어 고려해야할 가장 중요한 이슈는 무엇입니까?
A. 운전자의 기대는 자동차 안에 있을 때 잠을 잘 수 있느냐는 것입니다. 분명히 이것은 레벨 3 수준의 자동주행과는 맞지 않습니다.
새첨과 ABI는 최근 자동주행의 안전성을 보장하기 위해 카 메이커와 규제기관이 준수해야 하는 12가지 주요 요소를 나열한 ‘안전한 자동주행의 정의(Defining Safe Automated Driving: Insurer Requirements for Highway Automation Automated Driving)’란 도큐멘트를 냈습니다.

 [https://www.thatcham.org/what-we-do/automated-driving]


Q. 지원 시스템을 비롯해 테스트 항목과 절차의 개발 상황은 어떻습니까? 몇 가지 예를 들어 주실 수 있나요?
A. 새첨은 현재 2020년에 시작돼, 유로 NCAP 등급에 적용될 지원 주행(Assisted Driving)에 대한 테스트 절차(Test Procedures)를 마무리하고 있습니다. 이 테스트는 시스템의 기능성, 운전자가 이러한 시스템을 사용할 때 루프에 남아 있도록 보장하기 위한 안전성 개입과 운전자 개입에 대해 살펴봅니다.
이러한 테스트 중 하나로는, 운전자가 차량과 상호작용하기 위해 택한 차량의 조향 시스템에 의해 가해지는 저항 값을 측정하는 간단한 포트홀(pot-hole) 테스트가 있습니다. 이 경우 이상적으로는, 자동차는 운전자가 시스템 지원을 받고 있을 때 너무 많은 저항을 가하지 않고 갑자기 시스템을 끄지 않으면서 스티어링 휠을 통해 명확하게 운전자와 상호작용하는 것입니다.


Q. 새첨과 ABI는 운전자 지원 시스템과 자동주행을 명백히 구분합니다. 지원 시스템과 자동주행에 대한 유로 NCAP의 등급 시스템은 어떻게 돼 가고 있습니까? 현 시점에서 말씀해주실 수 있는 미래 계획, 예정 사항이 있다면? 
A. 새첨은 지원 시스템과 자동화된 시스템이 매우 다르며, 이에 따라서 차가 디자인되고 시장에 판매돼야 한다고 분명히 밝히고 있습니다. 진실된 위험은, 반복하지만 운전자가 이러한 시스템을 잘못 해석하고 자신의 의무를 다하지 못하는 것입니다. 유로 NCAP은 이러한 관점에 따라 지원(Assistance)과 자동주행(Automated Driving)이란 용어를 사용합니다. 새첨과 유로 NCAP은 함께 합니다.
가장 중요한 발전은, 말씀드린 것처럼 사용자를 안전하게 하기 위해 차량을 디자인하는 방법을 명확하게 규정한 ‘안전한 자동주행의 정의’란 도큐멘트를 막 냈다는 것입니다. 여기에는 네이밍, 트레이닝, 기능의 시작과 종료, 사이버 보안 및 데이터를 다루는 12가지 핵심 요건이 포함돼 있습니다. 특히 이 문서는 12가지 요건을 평가할 수 있도록 개발 중인 테스트 절차와 함께 진행 중인 작업의 기초를 형성할 것입니다. 우리는 이것을 적절한 시기에 유로 NCAP 내에서 자동주행 평가의 기초로 내세울 것입니다.
 
 
레벨 4, 2025년 고속도로서도 힘들다
 
“2021년 완전 자동화된 차량이 영국 도로에 도착할 것이라는 영국 정부의 예측은 거의 불가능합니다. 그러나 고속도로 전용으로 설계된 초기 자동주행 시스템은 소비자들에게 제공될 수 있습니다.” 에이버리 이사는 말했다.

새첨 리서치는 2025년까지 자동차의 완전 자동화는 불가능할 것이라면서도, 완전한 자율주행으로 향하는 여정에서 최소한 이를 가능하게 할 수 있는 12가지 지침을 제시했다. 새첨이 ABI와 함께 개발한 이 가이드라인은 국제 규제기관과 함께 고속도로 전용 자동주행 시스템을 허용하는 새로운 규칙을 설명한다.


  자동화 수준의 차이점, 출처|Thatcham Research


우리가 생각하는 운전과 관련해, 센서와 시스템의 역할 증가에 따른 운전자 지원에서 자동주행으로의 전환은 새첨 리서치가 늘 강조해오던 ‘새로운 잠재적 위험’으로 다가온다. 기능성이 제한적이고 운전자가 특정 상황에서 제어권을 되찾아야만 하는 이 전환은 사고 위험을 더 증가시킬 수 있다. 

예를 들어, 차에는 새로운 위험을 피하기 위해 운전자가 필요할 때, 제어권을 찾을 수 있는 운전자와 차간 안전한 제어권 전환을 보장하기 위한 효과적인 운전자 모니터링 시스템이 요구된다.

“차는 수호천사 역할을 해야 합니다. 시스템이 시나리오를 처리할 수 없다면 운전자를 다시 루프에 올려놓아야 하기 때문에 이것이 중요합니다. 운전자가 반응하지 않을 경우엔 사람이 하는 것처럼 도로 상태를 평가하고, 운전자와 승객을 안전하게 보호하기 위한 가장 안전한 조치를 결정할 수 있어야 합니다.”

2021년이 되면, 운전자들은 자동주행 모드에서 작동하는 자동차들과 도로를 공유하게 될 것이다. 그러나 자동주행 시스템의 첫 시작은 고속도로에 제한된 기능성을 제공할 것이고, 뿐만 아니라 사용자들은 특정 지점이나 상황에서 다시 제어를 해야만 할 것이다.


레벨 3 도입의 12계명

새첨과 ABI는 정부, 규제기관, 카 메이커가 자동주행 시스템을 안전하게 채택할 수 있도록 12가지 원칙을 작성했다.
발표된 ‘안전한 자동주행의 정의’에는 ▶운전자가 자동차의 자동주행 기능을 이해하도록 차량 내에서 교육 ▶고속도로 주행으로만 제한하는 지오펜싱 ▶항상 운전의 책임이 차량 또는 사용자에게 있음을 명확하게 표시하는 차 내 디스플레이와 같은 요구사항을 제시한다. 또 운전자가 필요할 때 제어를 다시하지 않으면, 차는 해당 도로조건에서 가장 안전한, 최소 위험 기동 가능성을 평가하고 이를 수행할 수 있어야만 한다.

“단순히 자동주행 기능을 종료하거나 차를 멈추는 것으로 이해돼서는 안 됩니다.”
이 12가지 지침이 준수된다면, 최초의 레벨 3 자동주행에서 운전자는 문자, 이메일, 영화보기와 같은 다른 것을 할 수 있게 된다. 그러나 이러한 활동은 기술 도입 초기 단계에서 차량의 인포테인먼트 시스템과 연결돼 운전자의 집중력이 비교적 짧은 시간에 도로로 되돌아 갈 수 있도록 해야만 한다.

1. 사용자 지원:
정보, 네이밍과 사용자 책임  
     
제조업체는 소비자 혼란을 제거해야 한다. 시스템의 네이밍, 광고 속의 정보, 매뉴얼들은 반드시 운전자 역할에 대해 적합해야 한다. 자동주행은 명확하게 다른 사용자 인터페이스를 통해 운전자 지원 시스템과 차별화돼야 한다. 차량은 자동화가 시작되기 전에 운전자가 자동주행의 시스템 기능과 역할, 의무를 이해하는지 확인하고 검증해야 한다. 트레이닝 필요성이 최소화된다는 것을 이해하기 위해 시스템은 본질적으로 간단하고 직관적이어야 한다. 이는 보험사 및 규제기관을 위해, 동적 VIN(Vehicle Identification Number) 레벨에서 명확하고 자세한 정보로 지원해야 한다.
 
2. 로케이션 특화:
운행설계 범위(ODD)
       
제조업체는 자동주행 시스템을 활성화하는 데 필요한 정적, 동적 조건을 자세히 정의하고 시스템에 의해 지속적으로 모니터링해, ODD 조건이 유지되는 동안에만 자동주행이 가능하도록 해야 한다. ODD는 조건이 충족되는 시기를 정확하게 식별하고 언제 종료될지를 예측할 수 있어야 한다. 시스템 ODD는 제조업체가 발행해야 한다.

3. 안전주행:
자동주행 시스템의 역량과 동작
-
자동주행 시스템은 ODD 내 모든 운전 태스크를 안정적으로 수행할 수 있어야 하며 다른 도로사용자와 예측 가능하게 상호작용하고 도로교통 법규를 준수해야 한다. 소프트웨어 업데이트가 자동주행 시스템의 특성 또는 역량을 변경하는 경우엔 후속 모델 판매에 대한 규제 승인을 받아야 한다. 이미 시장에 출시된 차량에 적용된 소프트웨어 업데이트 역시 동일한 기준을 적용해야 한다. 포괄적인 테스트 및 검증을 거친 철저한 ‘안전 시스템’ 설계 프로세스를 따라야만 한다.

4. 사용자 모니터링 
능동적인 사용자 모니터링은 필수적이며 ‘핸즈 온 휠’ 감지에만 의존해서는 안 된다. 시스템은 사용자가 DDT(Dynamic Driving Task)와 다시 완전히 연결될 때까지 사용자가 시스템을 활성화하는 시점부터 주의력 상태를 모니터링해야 한다. 사용자 주의력은 안전한 제어권 반환을 위한 최상의 전략을 결정하기 위해 자동주행 시스템에 의해 활용돼야 한다.

5. 2차 태스크   
운전 중 모바일폰 사용과 같은 주의력을 산만하게 만드는 2차 태스크는 현재 법으로 금지돼 있다. 그러나 이는 수정돼야 한다. 자동주행에서 계획되지 않은 제어권 반환이 예상되는 경우, 2차 태스크는 차량의 인포테인먼트 시스템을 통해 제한돼 사용자가 짧은 시간 내에 DDT에 다시 참여할 수 있도록 해야 한다. 계획된 제어권 반환만 예상될 경우엔 부가적인 2차 태스크는 허용될 수 있다.
 
6. 자동주행의 시작   
자동주행은 ODD 조건이 충족되고 자가진단 시스템이 자동주행 시스템 상태를 확인해 운전자와 함께 적절한 상황일 때만 가능하다. 명확한 ‘제안’ 및 ‘확인’ 프로세스를 통해 시작된다.
 
7. 자동주행의 사용       
자동주행이 차를 제어하는 동안 사용자는 적절한 2차 태스크를 수행할 수 있지만 사용자 모니터링은 적절한 시간에 제어권이 반환될 수 있도록 사용자 주의력을 관리해야만 한다.

8. 자동화의 종료 
자동주행은 여러 이유로 종료될 수 있다. 계획된 제어권 반환의 경우, 예를 들어 고속도로 출구와 같은 정적 ODD 조건에 접근할 때에 자동주행 시스템이 제어권 반환을 시작해 운전자가 DDT와 재결합할 수 있는 충분한 시간을 제공한다. 계획되지 않은 제어권 반환의 경우엔, 예를 들어 날씨와 같은 동적 ODD 조건이 빠르게 변경되는 경우 시스템이 운전자가 즉각적으로 DDT와 결합될 수 있도록 경고 프로세스를 시작한다.

사용자 요청에 따른 제어권 반환의 경우, 여러 가지 방법으로 요청 및 확인 프로세스를 통해 사용자가 DDT를 재계한다. 시스템 오류는, 자동주행 시스템이 경고 프로세스를 시작해 DDT에 운전자를 즉시 참여시키는 동시에 시스템은 MRM(Minimum Risk Manoeuvre)을 수행할 수 있는 기능을 유지해야 한다.
운전 태스크에 대한 모든 제어권 반환의 책임성은 명확한 ‘요청 및 확인’ 절차를 통해 진행돼야 한다. 시스템은 운전자를 모니터하고 DDT에 완전히 연결될 때까지 지원을 제공해야만 한다. 자동주행 시스템은 사용자, 또는 자동주행 시스템의 역할이 실패하면 안전지대(safe harbour)를 확보해야한다. 이 때 안전지대의 최소 위험조건은 상황에 따라 다르다. 차선에서 정지는 허용되지 않는다.


사용자 응답 시의 계획된 제어권 반환(위)과 非계획된 제어권 반환, 출처|Thatcham Research   


사용자 무응답 시의 계획된 제어권 반환(左)과 非계획된 제어권 반환, 출처|Thatcham Research


 
9. 충돌 보호와 회피        
차량에는 운전 도메인에서 예측 가능한 모든 중요 상황에 대응할 수 있는 긴급 충돌회피 기술이 장착돼 있어야 한다. 긴급 충돌회피 기술은 자동주행 시스템이 작동할 때 함께 작동해야 한다. 차량은 또한 최첨단 수동안전 시스템의 보호가 요구된다.

10. 사이버 보안(Cyber Resilience)     
자동주행 시스템은 취약성과 사이버 침입의 결과를 최소화하도록 설계, 개발 및 유지돼야 한다. 시스템과 OTA 업데이트는 ISO 21434 표준의 인증 준수와 함께 기술, 조직 모두에 대한 사이버 보안 위험 최소화 노력이 요구된다.

11. 충돌 데이터       
차량 제조업체는 자동주행 시스템과 인간 운전자간 누가 통제권을 갖고 충돌이 발생했는지에 대한 최소한의 데이터 세트를 보험사에게 제공해야 한다. 데이터 기록은 모든 충돌 및 긴급 시스템 개입 상황에서 촉발돼야 한다.
 
12. 지속가능성    
긴급 충돌회피 시스템은 센서 성능 저하를 견뎌야 하며 10년 이상 전체 기능 성능을 유지해야만 한다. 소프트웨어 시스템은 10년 동안 완전한 기능을 지원해야 한다. 시스템은 경미한 손상을 입을 수 있도록 시스템이 자가 치유될 수 있도록 설계돼야 하고, 결함이 감지되면 디스플레이에 알려줘야 한다. 안전한 긴급 충돌회피 시스템 기능을 검증하려면 정기적인 기술 검사를 해야 한다.
“시스템은 운전자가 운전 태스크에서 너무 멀리 떨어져 있는지, 아닌지를 식별할 수 있는 것이 중요합니다. 차량이 계획되지 않은 상황을 처리할 수 없거나 자동주행이 더 이상 지원되지 않는 도로로 전환될 때 특히 이것이 중요합니다. 휠 뒤에서 운전자가 낮잠을 잘 수 있는 완전 자동화는 2025년까지, 고속도로에서 조차도 불가능할 것입니다.” 에이버리 이사가 말했다.
 

자동주행 기능 활성화 상태의 콕핏(위). 자동주행 시스템은 사용자, 또는 자동주행 시스템의 역할이 실패하면 안전지대(safe harbour)를 확보하고 스스로 정차할 수 있어야 한다. 사진들은 비오니어(Veoneer)의 테스트 카.
 



AEM_Automotive Electronics Magazine


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP