ADAS와 자율주행, 그리고 SOTIF
ISO/PAS 21448:2019 (Road vehicles - Safety of the intended functionality)
2019년 03월호 지면기사  / 윤범진 기자_bjyun@autoelectronics.co.kr


by LEXUS

자동차 기능안전 표준인 ISO 26262 개발 주체들이 “의도된 기능의 안전”(Safety of the Intended Functionality, SOTIF)이라는 별도의 표준 ISO/PAS 21448을 개발 중이다. ISO 21448은 ISO 26262를 보완하며 ISO 26262에서 다루지 않는 부분을 다룬다. SOTIF는 개념 및 최종 검증의 사전 분석을 위한 환경 시나리오를 통합하기 위한 다양한 방법과 지침을 제공한다.

글│윤범진 기자 _ bjyun@autoelectronics.co.kr
감수│고병각 DNV GL 실장_byeong.gak.ko@dnvgl.com



자동차 시스템의 자율성 증가는 새로운 안전 문제를 제기한다. 가령 Systematic failures나 Random failures가 없는 데도 시스템의 의도된 기능이 위험한 상황을 초래할 수 있는 방식으로 동작한다면 어떻게 할 것인가? 이러한 문제는 ISO 26262에서 다루지 않는다. ISO 26262 기능안전(Functional safety)의 정의는 기능안전이 달성된 상태에 대한 것이다. ISO 26262 제2판에서도 계속해서 안전관련 위험(risk)에 대한 대응 설계를 위한 시스템 수준의 안전 메커니즘 설계와 하드웨어 및 소프트웨어에서의 구현 기술과 그것을 만드는 데 적용되는 프로세스에 중점을 두고 있다.

SOTIF(Safety Of The Intended Functionality: ISO/PAS 21448:2019) 표준은 기능안전과 달리 오작동, 고장, 결함에 관련된 것을 다루는 것이 아니라 의도된 설계 자체가 안전을 확보하기에 불충분•부적절한 경우를 다룬다. 예를 들어, 자율주행 시 센서의 성능 문제로 인해 멈추지 않고 계속 주행하는 경우를 상정해볼 수 있다. 이제 레벨 3 이상의 자율주행 시스템을 개발하는 엔지니어라면 ISO 26262 제2판과 ISO/PAS 21448:2019를 주목해야 할 필요가 있다. 
지난 1월 발행된 54페이지 분량의 ISO/PAS 21448:2019 문서에는 SOTIF를 달성하는 데 필요한 적용 가능한 설계, 확인 및 검증(Verification & Validation, V&V) 방법에 대한 지침이 나와 있다. 
"The absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or by reasonably foreseeable misuse by persons is referred to as the Safety Of The Intended Functionality (SOTIF).)"

 
  ISO 26262: 2018(2) SOTIF ISO/PAS 21448
위험원의 요인        
  E/E 시스템의 고장
▶Systematic failures
(S/W, H/W 설계 및 도구의 버그)
▶Random hardware failures
(시스템 사용 중 발생하는 영구 고장 및 일시적 고장)
결함 또는 고장 없이 의도하지 않은 동작
▶E/E 시스템의 성능 한계
예측 가능한 사용자 오용
자동차 주변 영향(다른 차량, Passive 인프라, 환경(날씨나 EMC 등)
고장뿐만 아니라, 비 고장에 대한 대응을 위한 활동 확대
 
 
SOTIF의 개발 동기는 차량의 하드웨어나 소프트웨어에 의한 오작동이 없는 경우에도 ADAS나 자율주행 차량(Autonomous Vehicles, AV)에서 불합리한 위험(Unreasonable risk)을 방지하자는 데 있다. 실제로 하드웨어가 ISO 26262를 준수하고 소프트웨어에 버그가 없기 때문에 안전하다고 판단되는 ADAS 및 자율주행 시스템조차도 경우에 따라서는 오류가 날 수 있다. 물론, ISO 26262 개발 그룹도 ISO 26262가 안전을 보장하기에 충분하다고 믿지는 않는다. 우리는 지난해 우버 자율주행차 사고를 비롯해 자율주행 기술이 오작동을 일으켜 발생한 사고를 목격했다. 

ISO 26262를 준수하는 완벽한 소프트웨어 및 하드웨어를 탑재한 차량이 센서나 시스템의 성능 제한, 예기치 않은 도로 환경의 변화, 예상할 수 없는 운전자의 기능 오용으로 인해 사고가 난 예가 많다. 또는 단순히 기계학습(Machine Learning, ML) 알고리즘이 현실을 정확하게 해석하지 못할 수도 있다. 

SOTIF 표준은 2016년 프랑스 파리 회의 이후, 2017년 한국과 이스라엘, 2018년 미국, 이탈리아 회의를 거쳐 SAE 주율주행 레벨1, 2에 대해 적용을 가이드하도록 ISO/PAS 21448로 제정되었다. 

이 그룹은 올 3월 상하이에서 다시 만났다. 이제 주제는 SAE 자율주행 레벨 3~5에 필요한 SOTIF의 기술적 내용이며, 이는 ISO 21448로 표준화 된다. 이를 위해서 “Machine Learning”, “HD맵”, “Validation Target”, “Minimum Risk Condition 고려”, “AI 요구사항”, “Driving Policy” 등 다양한 주제가 논의되었으며, ISO 21448 초안(Draft)에 담길 예정이다.  

SOTIF의 과제는 무엇보다도 자율주행에 대한 경험 부족이라고 할 수 있다. 이를 더 힘들게 하는 것은 표준화 그룹이 빠르게 변화하는 기술을 따라잡아야 한다는 점이다. 

하드웨어 및 소프트웨어가 고장이 아닌 경우에도 ADAS나 자율주행 차량이 위험한 동작을 할 가능성이 실제로 있다. 예를 들어, ?AI 기반 시스템이 상황을 이해하고 안전하게 작동할 수 없다. 즉 알고리즘이 작동 조건을 설명하기에 충분히 다양하지 않다. ?기존 센서 구성 내에서 안전을 확보할 수 있는 성능을 확신하기 어렵다. 즉 다양한 작동 조건을 처리할 수 있는 센서가 충분하지 않다. ?운전자가 자동화 기능을 오용하게 만드는 불량한 HMI(Human Machine Interfaces), 즉 운전자가 경고나 권고에 주의를 기울이지 않는 경우이다. 

SOTIF는 위험한 조건을 식별하기 위한 프레임워크이며 수용 가능한 수준의 위험이 있을 때까지 동작을 확인 및 검증하는 방법이다. 그러나 알려지지 않은 안전하지 않은 조건의 영역을 줄이는 것이 쉬운 일은 아니다. 현실적인 이유로 SOTIF는 시뮬레이션과 충분한 실차 테스트를 요구한다.


자율주행을 위한 담대한 도전

ISO 26262 회의에서 간발의 차로 SOTIF를 별도의 표준으로 개발하기로 결정이 됐는데, 회의론자들은 그 필요성에 의문을 제기했다. SOTIF는 “안전에 대해 생각하는 방법”을 제공하며 어떤 것이 어떻게 하면 자율주행을 해칠 수 있는지를 “도출하는 방법”을 제공한다. 

SOTIF 개발 그룹은 초기에 몇 가지 중요한 결정을 내렸다. 첫째, SOTIF를 ISO 26262에 포함시키지 않고 ISO 21448과 같은 별도의 표준으로 이관하기로 했다. 둘째, SOTIF에 레벨2 차량(기존 OEM 업체들이 선호)만 포함할 것인지, 또는 레벨3~레벨5 차량(기술 기업의 적극적인 로비)까지 포함할 것인지 그룹 내 의견이 갈렸지만 결국 레벨3~레벨5 차량을 포함하기로 결정했다. 셋째, SOTIF 애플리케이션에 대한 논쟁은 생산 단계의 최종 자율주행 시스템으로 국한한다. 일부 옹호론자들의 경우 이미 공공도로를 달리고 있는 자율주행 테스트 차량은 SOTIF로부터 면제되어야 한다고 주장한다. 이 그룹은 테스트 차량에 ISO 21448의 일부만 적용하는 것으로 타협안을 마련했고 테스트 차량에 대한 요구사항에 대해 현재 논의 중이다. 
기계학습은 현재 SOTIF의 부속서에서 다루고 있다. 자율주행 기술은 특히 물체 인식과 분류를 위해 대개 몇 가지 유형의 기계학습을 요구한다. 기계학습 훈련은 시스템적인 결함을 일으킬 가능성이 있다. 이 프로세스는 차량의 안전한 작동에 매우 중요하기 때문에 안전 표준에 따라 데이터 수집 및 학습 시스템을 개발할 필요가 있으며 수집된 데이터에 의도하지 않은 편향이나 왜곡과 같은 위험을 줄이는 데 주의를 기울여야 한다. 

알고리즘 외에 인공지능의 성패는 데이터베이스가 결정한다고 해도 과언이 아니다. 인공지능은 도로 상에서 발생하는 무한한 경우의 수를 인식하고 처리하는 작업에 특히 필수적이다. 기계학습은 자율주행 차량의 안전에 관한 논의에서 중요한 쟁점이다. 일부 SOTIF 회원들은 기계학습에 대해 추후 논의하기를 원하지만, 일부에서는 기계학습과 더불어 안전에 관해 논의하기를 바라고 있다. 하지만, 일부 그룹 구성원들은 기계학습이 표준화하기에 너무 새롭고 이르다는 입장이다. 엄격한 지침이 결국 혁신을 저해할 수 있다고 반문한다. 반면에 AI 기반 차량의 확인 및 검증을 위한 즉각적인 지침을 원하는 이들도 있다. 두 진영 간에 큰 견해차가 존재하지만, AI를 안전 감시자로 활용하여 모든 이상 상황을 감시할 필요가 있다는 데는 대부분 동의한다. 

IEEE 컴퓨터학회는 자율주행을 위한 AI에 관한 몇 가지 새로운 표준에 대해 논의 중이다. 고도로 자동화된(Highly Automated) 자동차를 확인 및 검증하는 데 수 시간의 테스트가 필요할지라도 테스트를 무한히 반복할 수는 없다. 자율주행 커뮤니티는 새로운 표준이 차량이 준수해야 하는 일련의 규칙인 ‘테스트’와 ‘공식 접근법’의 조합을 받아들일 것을 요구하고 있다. 일반적으로 이러한 공식 접근법에는 모빌아이(Mobileye)가 제안한 ‘책임 민감성 안전’(responsibility-Sensitive Safety, RSS) 모델이 포함되어 있다. RSS 모델은 미리 결정된 일련의 “결함에 대한 명확한 규칙”을 따르는 한 사고에 대한 책임으로부터 자율주행차를 보호하는 수학적 모델이다. 

SOTIF의 결론은 자동차가 현실을 이해하는 데 있어서 ADAS 및 자율주행 시스템의 한계를 알고 있어야 한다는 것이다. 예를 들어, 센서의 조합은 소프트웨어나 하드웨어에 문제가 없는 경우에도 자율주행 오작동을 초래할 수 있다. 
현재 SOTIF에서 다루어지고 있는 현안들은 ?SOTIF 위험을 다루기 위한 기능 개선 ?SOTIF ‘메트릭’의 정의/수용 기준 ?SOTIF의 확인 및 검증(V&V) 전략 ?퍼지 V&V 사용 ?시뮬레이션 및 시나리오 기반 테스트 지침 ?기계학습을 위한 SOTIF 확장 ?오프라인 HD 맵의 영향 ?시뮬레이션 환경의 적격성 확인 등이 있다.

갈무리

자동차 업계에서는 ISO 26262를 준수하는 안전한 시스템을 개발하기 위한 안전 프로세스를 도입하고 있다. 이 프로세스는 E/E 시스템 고장으로 인한 불합리한 위험에 대처하는데 집중되어 있다. 그러나 이러한 시스템의 안전은 E/E 고장으로 인한 고장 거동(malfunction behaviours)과 관련이 있을 뿐만 아니라, 운전자가 예측 가능한 기능의 오용 또는 센서나 시스템의 성능 한계 또는 예기치 못한 도로 환경의 변화와도 관련이 있다.
SOTIF는 차량의 E/E 시스템의 오작동이 없는 상태에서 발생하는 다른 불합리한 위험들을 주요 주제로 삼고 있다. 안전 표준 ISO/PAS 21448은 이러한 문제에 대처하기 위한 지침을 제공한다. □



<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP