글로벌오토뉴스

상단배너

  • 검색
  • 시승기검색
ä ۷ιλƮ  ͼ  ī 󱳼 ڵδ ʱ ڵ 躴 ͽ ǽ ȣٱ Ÿ̾ Auto Journal  Productive Product

[오토저널] 자동차 기능안전성

페이지 정보

글 : 오토저널(ksae@ksae.org)
승인 2017-06-27 02:09:33

본문

자동차 전자제어기의 SW, HW 결함으로 인한 오작동 피해 사례가 늘면서 자동차 기능안전에 대한 관심이 높아지고 있어 자동차 안전과 향후 자율주행자동차를 대비한 기능안전의 역할에 대해 간단히 소개하고자 한다.

 

기능안전이란?
자동차 사고원인의 90%는 운전자의 부주의나 안전운전 미수행으로 알려져 있다. 이러한 운전자 과실로 인한 사고를 방지하기 위해 환경센서를 이용해 사고 예측 시 경고나 제동을 수행하여 사고를 회피하는 능동안전시스템이 개발되어 보급이 되고 있다. 나머지 10%에서 절반인 5%는 차량의 결함으로 인해 사고가 발생하는 것으로 보고된다. 특히 최근 자동차의 전자화 추세로 많아진 전자제어장치의 오류로 인한 리콜 등이 증가하고 있다.


이러한 자동차 전자제어장치의 결함으로 인해 차량의 오작동이 발생하여 사고를 유발하거나 생명을 위협하는 것을 방지하기 위한 개발 절차와 기술 수준을 명시한 표준이 자동차 기능안전(ISO 26262)이다.

 

3812e35d313b5debd22e7f390c6e40a3_1498496 

전자제어장치의 모든 결함을 원천적으로 차단하기는 불가능하지만, 운전자 또는 보행자에게 상해를 입힐 수 있는 결함을 분석하여 이에 대한 대책 설계를 통해 상해를 최소화함을 목적으로 한다. 이를 위해, 기능별 오작동, 오작동에 따른 상황별 위험 수준, 위험 수준을 낮추기 위한 안전 목표, 안전 상태 등을 도출하여 해당 아이템의 예상 위험과 이를 회피하기 위한 거시적인 전략을 도출한다.


이후 거시적인 전략을 달성하도록 안전 컨셉을 고안하여 HW·SW적으로 구현한다. 기능안전 표준은 이러한 안전관련 개발을 효과적으로 수행하도록 개발 절차와 단계별 요구되는 개발 사항을 제시하고 있다.

 


자동차 기능안전의 이슈화


●자동차 기능안전 표준은 2007년 제안되어 진행 중

2009년도 미국에서 도요타 차량이 고속도로에서 급발진하는 사고로 일가족 4명이 사망하는 사건이 발생한 이후 도요타 사장이 미하원 청문회에 출두하여 공식사과하면서 급물살을 타고 2011년 표준으로 제정 공표되었다. 도요타는 이 사고로 제조물책임법에 따라 1.2조원의 배상 책임을 물어야 했다. 이 사건은 세계 자동차제조사
(OEM)에 큰 경각심을 불러 일으켰으며 이후 자동차 기능안전은 OEM 납품을 위해 필수 사항으로 인식되고 있다.


독일의 한 변호사는 ‘자동차 기능안전 표준은 최소한의 필수 요구조건으로 볼수 있으며, 완전한 대응 논리는 아니다’라고 말한다. 즉, 제조사는 자동차 기능안전을 포함하여 추가로 사고를 방지하기 위한 최대의 노력을 기울여 개발해야 함을 내포한다. 부품업계는 제조사 납품을 위해 안전에 민감한 부품일 경우 경쟁 우위를 위해 기능안전에 더욱 철저히 대비하여야 한다. 표준의 공표 이후 한동안 자동차 기능안전에 대해 인증을 받아야 하는 것으로 오해가 있었지만, 기본적으로 인증보다는 자동차제조사의 최종 심사를 통해 완료되는 성질의 것으로 볼 수 있다.

 


자동차 기능안전의 발전 방향


●표준 2판

2011년 ISO 26262 초판 공표 이후 3년이 되는 시점에 2판을 위한 개정 작업이 시작되었다. 주요 사항은 반도체, 이륜차, 트럭&버스에 대한 부분이었으며 초판의 적용 대상의 확대와 현업에서 부족하게 느꼈던 부분들에 대한 상세한 설명 등을 추가하는 형태로 개정 작업이 이루어졌다. 초판 작업 당시에는 Multi-core MCU와 AUTOSAR 등이 널리 보급되지 않은 시점이었지만 이후 기술 발전에 따라 이 부분을 추가로 고려하여 기능안전 수행에 필요한 부분들을 검토하여 개정에 반영하고자 하였다. 또한 자율주행자동차의 빠른 보급 계획에 따라 자율주행자동차의 상용화를 위해 필요한 기능안전의 기술적 해결 부분들이 작업 그룹을 통해 함께 다루어졌다.

 

3812e35d313b5debd22e7f390c6e40a3_1498496


이 중에서 SOTIF(Safety of the Intended Functionality)는 ADAS(Advanced Driver Assistance System)를 위한 환경센서 인식률의 한계로 안전 목표를 위배하는 상황을 어떻게 다룰것인지에 대한 가이드를 담은 표준이며, 자율주행자동차의 주요 기능에 대해 고장 발생시에도 최소한의 작동을 보장하는 Fail-operational에 대한 논의가 활발히 이루어졌다.


●UNECE 안전 규정

자동차기능안전 표준이 공표된 이후 제정되는 안전 규정에도 일부 관련 내용이 포함되고 있다. 최근 유럽 상용차를 대상으로 한 AEBS에 대한 교정 부록4에 능동안전시스템과 같은 복잡한 기능을 수행하는 제어기에 대해 부가적으로 차량 수준의 안전 컨셉을 도출하여 이를 적용하여 검증한 결과를 제시하도록 하고 있다. 이는 차량 수준에서의 기능안전 검증을 요구하는 것으로 차량에 해당 시스템 제어기가 장착된 상태에서 안전 컨셉의 유효성을 입증하여야 함을 의도한다.


●자율주행자동차 NHTSA

최근 자율주행자동차 상용화를 위한 제도 정비의 일환으로 미국 고속도로안전청(NHTSA)은 자율주행자동차 정책에 대한 초안을 공표하였다. 이 초안에는 자율주행자동차의 시스템 안전을 위해 안전 프로세스를 적용하여 개발할 것과 시스템 고장 시 자율주행자동차의 단계에 맞게 운전자 또는 차량 스스로 최소한의 안전 조치를 수행하여 운전자의 안전을 확보할 수 있도록 제시하고 있다.


특히 자율주행 기능에 대해 오작동을 하지 않는지, 축소된 기능으로 작동하는지, 작동 설계 범위(Operational Design Domain)를 벗어나지 않았는지 모니터링하여 위험을 최소화하는 방향으로 작동하도록 하는 대체시스템(Fall back)의 기능 구현을 요구하고 있다.

 

3812e35d313b5debd22e7f390c6e40a3_1498496


운전자가 전방을 주시하는 자율주행시스템 수준에서는 운전자에게 알리고 운전자의 수동 조작을 통해 운전이 가능하여야 하며, 자동화 단계가 높은 경우에는 운전자의 음주나 취침 상황으로 바로 운전을 넘겨 받을 수 없는 상황이 존재하여 차량을 안전한 곳에 주차한다거나, 주요 주행차선이 아닌 곳으로 주행하는 형태로 운전자와 상관없이 최소한의 위험 상태로 차량 스스로 제어가 가능하여야 할 것이다.

 

자동차 기능안전 표준은 자동차 양산을 위해 필요한 프로세스와 기술 수준을 담고 있어 그 양이 방대하고 기술 분야도 차량수준에서 시스템, HW, SW 수준까지 전 범위를 다루고 있어, 수준 높은 수행에 상당히 많은 시간과 노력을 요구한다. 전세계적으로 현재 수준의 차량 아이템에 대한 기능안전 적용을 활발히 수행하고 있으며, 이러한 활동이 바탕이 되어 앞으로 자율주행자동차, 환경 센서, 반도체, 인공지능 SW 등 기술의 발전과 더불어 자동차 기능안전도 함께 발전하여 적용이 되어야 할 것이다. 

 

글 / 이혁기 (자동차부품연구원)
출처 / 오토저널 17년 2월호 (http://www.ksae.org) 
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
하단배너
우측배너(위)
우측배너(아래)