STPA - ISO 21448(SOTIF) 준수 위한 안전분석 활용(2)

STPA - ISO 21448(SOTIF) 준수 위한 안전분석 활용(2)

자율주행차의 등장은 운전자의 부담을 줄이고 교통흐름을 최적화하는 등 우리 삶의 많은 측면에서 혁신을 일으키고 있다. 그러나 기술의 진보는 복잡한 시스템 안전성 문제도 함께 제기한다. ISO 21448(Safety of the Intended Functionality, SOTIF)는 이런 도전 과제에 대응해 예상치 못한 위험상황에서도 차량의 안전 기능성을 확보하는 데 중점을 둔다. 이 글에서는 STPA가 어떻게 ISO 21448의 준수를 지원하고, 업계 전반에서 자동차 안전성을 강화하는 중요한 요소로 작용하는지 탐구한다.


 

글 | 노경현*, CEO & 수석 컨설턴트, ASPICE & CMMI 선임심사원, VWAY
      김범석**, 안전 및 사이버보안 분석 소프트웨어 기획자, VWAY   

* 노경현은 VWAY 대표이사로 자동차 기능안전성 전문가로 활동하고 있으며, 국민대학교 겸임 교수이다. ASPICE 및 CMMI의 선임심사원으로 안전 및 품질 프로세스 컨설팅을 담당하고 있다.  ** 김범석은 VWAY의 안전 및 사이버보안 소프트웨어 개발 기획자이다. VisualPro STPA의 기획을 총괄하고 있으며 국내 STPA의 교육 및 컨설팅을 담당하고 있다.




SOTIF 내 STPA 역할 

STPA(Systems-Theoretic Process Analysis)는 복잡한 시스템에서 잠재적 위험을 식별하고 분석하기 위한 최신 분석 도구이다. STPA의 자세한 내용은 이전 기사(STPA, 새로운 안전분석 통한 패러다임 전환)을 통해 확인할 수 있다. 
STPA는 시스템 안전성에 대한 통합적인 접근 방식을 제공하며, 예측 가능한 오작동뿐 아니라 시스템 내에서 발생할 수 있는 예기치 않은 상호작용 및 위험 상황도 포함한다. 이런 이유로 STPA는 SOTIF 내에서 다음과 같은 중요한 역할을 한다.

1. 위험 식별: STPA는 예상되는 사용 시나리오를 넘어서서, 시스템이 올바르게 작동할 때 발생할 수 있는 잠재적 위험을 식별하는 데 사용할 수 있다. 이는 SOTIF의 핵심 요소인데, 이는 기능적 오류가 아닌 시스템의 정상 작동 중에 발생하는 위험 상황에 중점을 둔다.
2. 복잡한 상호작용 분석: 자율주행차와 같은 첨단 시스템은 매우 복잡한 내부 및 외부 요소 간의 상호작용을 갖는다. STPA는 이러한 복잡한 상호작용을 이해하고 분석하여, 예측하지 못한 문제나 위험 상황을 예방하는 데 도움을 준다.
3. 안전 요구사항 개발: STPA를 통해 식별된 위험은 시스템의 안전 요구사항을 개발하는 데 사용될 수 있으며, 이는 ISO 21448 표준과 일치하는 안전한 설계 및 개발 프로세스의 중요한 부분이 된다.
4. 연속적인 평가 및 개선: STPA는 초기 설계 및 개발 단계뿐 아니라 시스템의 전체 수명주기 동안 지속적으로 위험 분석을 수행할 수 있게 해준다. 이 연속적인 프로세스는 SOTIF가 중요시하는 지속적인 안전성 평가 및 개선에 기여할 수 있다.

따라서, STPA는 SOTIF 내에서 안전 문제를 식별하고, 이런 문제를 해결하기 위한 전략을 개발하고, 지속적으로 안전성을 평가하고 개선하는 역할을 한다. 결론적으로 STPA는 ISO 21448의 준수를 돕고, 자율주행차 기술의 안전성과 신뢰성 향상에 중요한 도구이다.


 

자율주행차 안전분석에서 STPA 활용      

다음은 2016년 MIT에서 Autopilot에 대한 STPA 안전분석을 진행한 예제다. 
그중 Autopilot 자동차에서 발생할 수 있는 UCA(Unsafe Control Action) 중 하나는 “Autopilot 차량이 전방에 물체가 있음에도 적절한 제동을 하지 않음”이 될 수 있다. 좌측을 보면 Autopilot 차량 앞에 정상 주행 차량이 있고 그 앞 해당 차선 내에 어떤 이유로 인해 멈춰 있는 차량이 있다.
 
우측을 보면, Autopilot 앞 차량은 운전자가 직접 운전하는 차량으로서 자기 차선에 문제 있는 차량이 있음을 인지하고, 따라서 속도를 올린 후 물체 앞에서 충돌 직전에 빠져나갔다. 하지만 Autopilot 차량은 앞차만을 인지해 정상 주행이라고 판단한다. 즉 앞차와의 거리에 따라 속도를 계속해서 올리게 되고, 앞차가 물체와 충돌 직전 차선을 변경해 빠져나가면 차선 변경 혹은 제동 등을 판단할 수 있는 시간이 부족해 충돌하게 된다. MIT 연구에서는 STPA를 통해 위와 같은 사고의 시나리오를 식별할 수 있었다.


 

2년 뒤 2018년 1월 테슬라 모델은 정확하게 STPA가 예측한 시나리오처럼 사고가 발생했다. 사고 원인은 Autopilot 차량의 충분하지 않은 상황 인식이었으며 STPA가 2년 전 분석한 시나리오와 완벽하게 일치했다. 이 사건은 STPA가 자율주행차에서 발생할 수 있는 사고를 어떻게 예방할 수 있는지 보여주는 좋은 예시다.



앞으로의 과제           

자율주행 기술의 빠른 발전과 함께 분석 도구와 방법이 지속적으로 업데이트돼야 한다. 
이는 산업 전문가들이 새로운 기술과 위험을 신속하게 이해하고 대응해야 함을 뜻한다. 또한, STPA와 같은 분석 도구를 올바르게 활용하려면 엔지니어와 분석가들에게 지속적인 교육과 경험이 필요하다. 이런 도전을 극복하기 위해서는 STPA에 대한 산업 내 협력, 지속적인 학습, 분석 방법의 끊임없는 개선이 필요하다. 

 

---

참고자료
1. Nancy G. Leveson & John P. Thomas, 「STPA Handbook」, MIT, 2018 
2. Short Exercise inspired by Tesla Autopilot, John Thomas, MIT, 2021

---