글로벌오토뉴스

상단배너

  • 검색
  • 시승기검색
ä ۷ιλƮ  ͼ  ī 󱳼 ڵδ ʱ ڵ 躴 ͽ ǽ ȣٱ Ÿ̾ Auto Journal  Productive Product

[오토저널] 자율주행자동차 기능안전 및 성능안전 법규 추진 동향

페이지 정보

글 : 오토저널(ksae@ksae.org)
승인 2021-02-03 11:47:00

본문

기능안전(Functional Safety) 및 성능안전(Safety of The Intended Functionality, SOTIF) 개요
자동차 사고원인의 90%는 운전자의 부주의나 안전운전 미이행으로 알려져 있다. 이러한 운전자 과실로 인한 사고를 방지하기 위해 카메라, 레이더, 라이다 센서 등을 이용하여 사고 예측 시 경고나 제어를 수행하여 사고를 회피하는 능동안전시스템이 개발되어 보급이 되고 있지만, 최근 이러한 자동차 전자제어장치의 오류로 인한 리콜 등이 증가하고 있다. 

자동차 전자제어장치의 결함으로 인해 차량의 오작동이 발생하여 사고를 유발하거나 생명을 위협하는 것을 방지하기 위한 개발 절차와 기술 수준을 명시한 표준이 자동차 기능안전(ISO 26262)이다.

자동차 기능안전 표준이 공표된 이후 제정된 자동차 안전기준에는 일부 관련 내용이 포함되고 있다. 유럽에서는 AEBS(Advanced Emergency Braking System)와 같은 능동안전시스템의 제어기에 대해 차량 수준의 안전 컨셉을 도출하여 이를 적용한 검증 결과를 제시하도록 하고 있다. 이는 차량 수준에서 기능안전 검증을 요구하는 것으로 안전 컨셉의 유효성을 입증하여야 함을 의도한다.

또한, SOTIF(Safety of the Intended Functionality)는 고장, 결함에 관련된 것을 다루는 것이 아니라 의도된 자율주행시스템 설계 자체가 안전을 확보하기에 부적절한 경우를 다룬다. 예를 들어, 2016년 테슬라의 오토파일럿이 대형트레일러의 하얀색 부분과 실제 하늘을 구분하지 못하고 충돌하여 운전자가 사망한 사고를 통해 성능안전의 개념과 중요성을 알 수 있다. 즉 하드웨어나 소프트웨어의 고장으로 인한 사고는 기능안전 대책의 미비로, 고장은 아니나 기상조건 및 이미지 오인식 등 기능의 성능 저하로 인한 사고는 성능안전(SOTIF) 대책의 미비로 볼 수 있다.

따라서 자율주행자동차의 안전을 확보하기 위해서는 기능안전은 기본이고, 성능안전에 대한 대책이 필수적이라고 할 수 있다.

자율주행자동차 기능안전 및 성능안전 관련 국제 표준
기존 자동차는 운전자가 인지, 판단, 제어를 수행하지만, 자율주행자동차는 자율주행시스템에 의해 주변 상황을 인지하여 판단 및 제어를 수행하므로 운전자와 시스템 사이의 상호작용에 대한 연구를 포함하여 복잡한 실도로 주행상황을 반영한 자율주행시스템 개발 등이 필요하다. 또한, Level 4 이상의 자율주행자동차에서는 자율주행시스템에 고장 발생 시 운전자가 능동적으로 대처하기 어려우므로, 자율주행시스템을 이루는 전기, 전자 부품들의 고장에 대한 대책이 마련되어야 하며 이를 평가할 기준(평가시나리오, 지표, 지침 등)도 마련되어야 한다.

23700a77e9f2457ae430bf77e0318891_1612320

그러나 자율주행자동차의 기능안전에 관한 시험방법은 아직 확정된 것이 없고, ISO26262와 SOTIF 등과 같은 국제 표준을 바탕으로 관련 연구가 진행중이다. 현재, 자동차 산업에서 안전관련 국제표준(ISO 26262)은 법이나 제도적으로 명문화되어 있지 않고, 정부차원의 관리도 되지는 않고 있지만, 자율주행시스템으로 인한 사고 발생시에 PL법(Product Liablity, 제조물책임법)의 적용을 받기 때문에 중요하다.

23700a77e9f2457ae430bf77e0318891_1612320

PL법은 제품에 결함이 있고 그 결함으로 인해 소비자가 피해를 입은 경우 소비자에게 피해를 끼친 정도에 따라 손해배상 청구 대상이 될 수 있다. 그렇기 때문에, 이에 대한 법적 책임을 최소화하기 위해서는 사고를 유발한 부품 및 시스템이 최첨단의(State of the Art) 기술을 적용해서 개발되었고, 사회가 용인할 수 있는 수준으로 리스크 절감을 위해 노력하였음을 제조사가 증명을 해야 한다. 과거에는 업계를 리딩하는 소수 업체들만이 자발적으로 ISO 26262 표준을 준수하는 정도였지만, 최근에는 OEM으로부터 제품 개발시부터 요구 받게 되는 일반적 요구사항으로, 이를 적용하고 있는 회사들이 대부분이다. 하지만, ISO 26262 에서는 고장과는 관련 없는 센서의 성능저하, 사용자의 오용 등과 같은 자율주행에 중요한 내용들은 다루지 않으며, 이는 성능안전 표준인 SOTIF(Safety of the Intended Functionality) ISO/PAS 21448에서 다루게 된다.

자율주행자동차 안전기준 평가의 패러다임 변화
자율주행자동차는 전통적인 자동차의 성능평가와는 다른 패러다임을 갖고 있다. 우선 운전의 주체가 인간에서 자율주행시스템으로 전환된 것이다. 기존에는 운전은 사람이 하고 그에 대한 책임을 지도록 하였으나 자율주행 Level 3 이상에서는 시스템이 운전을 하고 그에 대한 책임도 시스템에 있으므로, 시스템의 운전 능력에 대한 검증이 필요하다. 또한 자율주행 Level 3~4는 운행 설계영역(ODD, Operational Design Domain)과 연계되며 그 영역 내에서만 작동한다. 따라서 자율주행자동차를 위한 새로운 평가 방법을 도출하여야 한다. 이에 따라 국제 자동차 안전기준 제개정을 담당하는 UN/WP.29에서는 자율주행자동차의 안전기준개발을 위하여 <그림 1> 및 <표 1>과 같은 평가방법을 적용 예정이다.

자율주행자동차는 기존과 같은 주행시험장 평가와 실도로 평가가 필요하고, 시뮬레이션과 같은 가상장치의 평가 및 적합성 심사평가 등과 같은 복합적 평가가 필요하므로 이에 대한 기준 논의가 이루어지고 있다. 특히 레벨4 이상의 자율주행자동차에서는 자율주행시스템에 고장이나 성능저하 발생 시 운전자가 능동적으로 대처하기 어려우므로, 자율주행시스템을 이루는 부품들은 이에 대한 대책이 마련이 되어야 하며 이를 평가할 기능안전과 성능안전은 주로 Audit/Assessment 분야에서 다루어지고 있다.

자율주행자동차 기능안전 및 성능안전 법규추진 동향
자율주행자동차 평가방안(VMAD) 전문가기술회의에서는 공로주행 시험평가나 주행시험로 시험평가와 같이 물리적 평가가 어려운 영역의 감독/검증 방안 개념을 아래와 같이 제시하고 있다.

1) 제작사는 다음 항목에 대한 서류증빙이나 시험을 통한 검증을 해야함
–위해요소 및 위험요소를 저감시키기 위한 일관된 안전 설계
–성능 규정, 도로교통법 만족 및 사용자의 안전을 확인할 수 있는 설계상의 강건한 검증 절차 및 평가 
–차량의 전주기(개발/생산/운행/폐차) 안전관리시스템 (프로세스, 메커니즘, 전략 등)
–사고 대응 프로세스 확보

2)인증기관은 제작사가 제공한 정보를 기반으로, 제작사의 설계, 검증, 고장안전(Fail Safety) 등이 충분히 강건한지 평가/감독하여야 함

※VMAD(Validation Method for Automated Driving) : Level 3단계 이상의 자율주행차의 안전성을 평가하기 위한 방법론을 검토하고 개발하기 위한 UNECE WP.29 
GRVA 산하 국제회의

23700a77e9f2457ae430bf77e0318891_1612320

현재 자동차 산업에서 기능안전 및 성능안전 분야 표준(ISO26262, ISO21448 : SOTIF)은 아직 법, 제도적으로 명문화되지 않고 있지만, 위에서 설명했듯이 자율주행자동차의 특성과 현재 국제기준(UNECE/WP29)에서 논의되고 있는 추이를 보면 안전도 확보 측면에서 Regulation으로 적용될 가능성이 높다. 이에 대한 제작사 및 부품사의 적극적인 검토 및 대응이 필요할 것으로 판단된다.

글 / 문병준 (한국교통안전공단)
출처 / 오토저널 2020년 12월호 (http://www.ksae.org) 
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
하단배너
우측배너(위)
우측배너(아래)