자율주행자동차를 대상으로 한 리스크 분석 및 리스크 평가 방안 (2) ▶ 자율주행자동차를 대상으로 한 리스크 분석 및 리스크 평가 방안 (1) 보러 가는 자율주행자동차에 대한 제어가능성 HARA 수행은 OEM이 안전과 관련된 새로운 시스템을 탑재한 자동차 생산의 첫 번째 과정이다. HARA를 통해 개발되는 Item의 기능을 기반으로 오동작과 그로 인한 위험을 파악하는 등의 활동을 통해 철저하게 안전측면을 고려한 ASIL 등급이 결정되고 협력사는 이러한 OEM의 최상위 안전요구사항을 기반으로 System, Hardware, Software를 개발하게 된다(그림 1 참조).
<그림 1>ISO26262를 준수하고 안전 요구 사항의 흐름 → ASIL및 최상위의 안전 요구 사항을 결정하는 데 HARA는 매우 중요하므로, 특히 실제 차량 수준에서 분석되는 운용 상황 및 운영 시나리오가 핵심 역할을 한다. ASIL을 결정하는데 있어서 심각한 정도, 발생 빈도, 제어 가능성에 대한 가이드 라인은 SAEJ2980-Considerations for ISO26262 ASIL Hazard Classification및 독일 자동차 협회인 VDA 702-Situationskatalog E-Parameternach ISO 26262-3에 상세히 설명되고 있다.
그러나 최근 자율 주행 자동차에 대한 관심이 높아지면서 SAE의 자율 주행 수준 3이상의 자율 주행 자동차가 개발되면서 자율 주행 자동차를 대상으로 한 ISO 26262대응에 대한 요구가 높아지고 있다. 자율 주행 자동차의 경우 기능이 제대로 정의되어 있어도 차량의 제어권을 차량이 스스로 가지고 있기 때문에 정확한 기능 수행의 범위를 설정하기 어렵고 동일한 운영 시나리오라도 재연성이 거의 불가능하므로 많은 OEM이 HARA을 수행하는 데 불편을 느끼고 있다.
기존 차량의 HARA에서는 위험한 상황에 직면했을 때 일반적인 운전자가 위험을 회피하는 Parameter를 제어 가능성으로서 C0~C3으로 구분하고 각각의 반을 회피할 확률을 명시하고 있다.
ClassTitleDescriptionC0*)Controllablein generalIf dedicated regulations exist for a particular hazard, Controllability may be rated C0 when it is consistent with the corresponding existing experience concerning sufficient Controllability.For use of C0 refer ISO 26262-3:2018, 7.4.3.8.C1Simplycontrollable99% or more of all drivers or other traffic participants are usually able to avoid the specified harm.C2Normallycontrollable90%or more of all drivers or other traffic participants are usually able to avoid the specified harm.C3Difficult tocontrol or uncontrollableLess than 90%of all drivers or other traffic participants are usually able to avoid the specified harm*No ASIL is assigned for C0NOTE:Description has used the”specified harm”based on ISO26262-3:2018,7.4.3.7, Note2<표 3>ISO26262:2018에 명시된 제어 가능성(Controllbilty)급 비교
그러나 자율 주행 자동차의 경우, 전술한 것처럼 크게 1)운전자 제어 모드와 2)자율 주행 모드에 두개의 주행 모드로 나뉜다. 운전자 제어 모드의 상황에서는 Table 3에 명시된 기준을 활용하고 기존 차량과 마찬가지로 등급을 부여할 수 있지만 2)자율 주행 모드의 경우 차량의 제어권을 차량 자체가 갖고 있기 때문에 제어 가능성에 대한 등급을 결정하는 것은 불가능하다. 다시 말하면 자율 주행 모드에 대한 운영 상황을 최대한 세분화하고 각각의 상황에 대한 등급을 결정하고, 모든 운영 상황에 대해서 항상 최대 수준의 제어 가능성을 부여하는 방법으로 접속이 가능하다.
예를 들면, 자율 주행 모드로 주행 중에 발생한 위험 상황-운전자 제어 모드에서 충분히 회피 가능한 수준의 위험 상황-에서 차량의 제어권을 담당하는 Software의 오작동에 의한 차량의 제어권을 운전자에 어떠한 신호 없이 승계할 경우 운전자는 갑자기 제어권 획득에 의한 차량의 제어가 기존 C1등급 수준에서 C2또는 C3등급 수준으로 상향 수정될 수 있다. 이런 것을 미연에 방지하기 때문에 운전자 주행이나 자율 주행 모드 모두에게 최고 등급의 제어 가능성을 부여하는 방법이 있다.
이런 방법은 위험 상황에 대한 차량의 대처에 대해서 적극적인 대처가 가능한 시스템을 개발할 수 있지만 개발 비용 상승에 직결된 문제를 갖고 있다. 또한 제어 가능성을 최고 등급인 C3으로 전달함으로써 S+E+C의 합이 최저 수준인 3이 아니라 5으로 전체적인 ASIL결정을 위한 범위가 대폭 감소한다는 문제점이 있다.자율 주행 자동차에 대한 HARA자율 주행 자동차를 대상으로 한 HARA에서는 전술한 것처럼 제어 가능성을 최고 등급인 C3에 반영하는 것이 가장 바람직하다. 자율 주행 자동차에 탑재된 AEB(Autonomous Emergency Brake)이 고속 도로를 주행 중에 도로상에서 동물을 발견한 경우, 예를 들면 SAEJ2980로 심각도 S는 2를 VDA 702에 의해서 노출 빈도 E도 2를 부여하고 제어 가능 C는 최고 등급의 3을 부여하고 최종 ASIL는 A가 결정된다.
<그림 7> AEB에 대한 Initial H ARA Table 일반적인 차량의 경우에는 상기 <그림 7>에 도식화한 HARA Table이 충분한 타당성을 가질 수 있다. 심각도나 노출빈도에 대해서는 관련 가이드인 SAEJ2980이나 VDA702 가이드에서 나타내는 기준을 적용할 수도 있으며, 가이드 상에서 나타내는 등급이 AEB 탑재되어 판매가 이루어지는 국가의 도로상황이나 운전관습이라는 요인에서 일부 부적절한 등급의 경우에 한해 납득할 수 있는 레벨에서의 조절이 가능하다(그러나 대부분의 경우 SAEJ2980이나 VDA에서 크게 벗어나지 않는다)는 범위를 크게 벗어나지 않는다.
그러나 일반차량과 자율주행차량의 HARA에서 가장 큰 차이라고 할 수 있는 제어가능성 C는 큰 차이를 보인다. 고속도로를 주행중인 일반 차량이 도로상에서 동물을 발견했을 경우, 통상의 상황이라면 적어도 90%이상의 회피는 가능할 것이다. 따라서 제어가능성 C등급이 C2레벨로 낮아질 것으로 예상되며 심각도와 노출빈도, 그리고 제어가능성 등 모든 인자가 “2”가 되고 최종안전성 레벨은 QM레벨로 ISO26262에 대한 대응이 불필요해진다.
실제로 자율주행 자동차가 자율주행 모드 중 위험에 처한 상황에서 제어권을 갑자기 운전자에게 줄 경우 운전자는 제어권을 상실할 확률이 높고 이는 사고로 이어질 확률이 높아진다. 따라서 자율주행자동차를 대상으로 HARA를 할 경우 기존 차량의 HARA와 비교해 접근방식을 달리해야 한다. 즉 일반차량의 주행상황을 분석할 때 활용한 환경영향인자나 주행상황인자는 동일하게 사용하되 자율주행모드에서만 구현되는 다양한 상황을 고려해야 한다. 자율주행 차량도 주행 중 교통규칙을 준수해야 하지만 의도하지 않은 오류로 교통신호를 제대로 인식하지 못하거나 주변에 있는 차량이 규칙을 위반한 경우가 추가로 고려돼야 한다. 자율주행자동차의 HARA 수행시 추가적으로 고려해야 할 부분은 교통법규뿐만 아니라 갑작스러운 통신실패 및 운전모드간 혼선, 전기/전자장치로 제어되는 제동, 조향 등의 실패 등 차량주행에서 발생할 수 있는 상황도 고려해야 한다. 기존 차량의 경우, 차량주행 상황은 대부분 위험을 야기하는 잠재적인 요인으로 식별됐지만 자율주행자동차의 경우 각각의 상황에 직면하더라도 정상적으로 기능을 수행해야 하기 때문에 기존 대비 모든 상황에 대한 기준을 세분화할 필요가 있다.
<그림 7>의 경우 자율주행자동차가 고속도로 주행 중 동물을 발견하는 상황이라면 기존 차량에 대한 위험 상황의 정의와는 다르게 표현해야 한다. 모든 동물이 차량과 충격 시에 위험한 상황을 일으키는 것은 아니기 때문에 개체의 중량을 세분화해 20kg 미만, 20kg 이상 등으로 구분할 필요가 있다. 20kg 미만의 개체가 도로상에서 출현하는 경우가 20kg 이상인 개체가 출현하는 경우와 노출 빈도상으로는 유사하다고 해도, 충격에 의한 심각도에서는 적어도 1 클래스 이상의 차이는 발생할 수 있다. 즉, 기존의 차량의 주행 상황에서 도식한 「동물 발견」을 개체의 무게로 세분화할 경우, 20kg 미만의 개체는 심각도가 한 단계 내려져 ASIL이 부여되지 않는 QM을 부여할 수 있다(그림 8 참조).
<그림 8> AEB에 대한 Refine 주어진 HARA Table 기존 차량을 대상으로 한 리스크 분석 및 리스크 평가는 개발 대상 아이템에 대한 정의 후 오작동을 도출하고 그로 인한 고장을 정의한다. 이후 주행상황에 대한 분석이 완료되면 각각의 주행상황과 고장을 조합해 위험 이벤트를 판정하고 심각도, 노출빈도 및 제어가능성 등급을 부여해 자동차안전무결성등급(ASIL)을 결정하게 된다. 일반적으로 주행상황에 대한 분석은 큰 틀에서 변경되는 경우는 거의 없으며 다만 개발대상 아이템의 기능이 관여하는 범위에 따라 주행상황 초점이 변경된다.
그러나 자율주행자동차의 경우 개발 대상 아이템과는 거의 무관하게 차량 내 조향, 제동, 가속 또는 감속 상황과 연계해 기능을 하기 때문에 주행 상황에 대한 분석이 가장 중요한 요소다.결론 자동차를 생산하는 OEM 측면에서는 차량 사고에 대한 책임이 있기 때문에 협력사와의 개발을 시작할 때 가급적 높은 ASIL 등급을 원하고, 반대로 협력사의 경우 개발비나 시간문제 등으로 가능한 낮은 ASIL 등급의 OEM에서 할당을 요구한다.
자율주행자동차의 경우 기존 차량에 비해 보다 높은 수준의 안전이 확보되어야 한다는 측면을 고려하여 차량제어 권한이 차량 스스로에게 있음을 감안하면 제어가능성을 최고수준으로 부여한 접근방식이 ISO 26262를 충족하는 개발방법이라 할 수 있다. 물론 제어 가능성을 최고 수준으로 높이기 위해 발생할 수 있는 기존 차량, 동일 Item 탑재 기준의 ASIL클래스에 비해 자율주행 자동차에 탑재되는 Item의 ASIL클래스가 올라간다는 문제는 있지만 완벽한 안전성이 확보되어야 하는 자율주행자동차의 특성을 고려할 때 충분히 고려할 수 있는 방법론이라 할 수 있다.한컴인텔리전스ㅣISE사업본부SPE팀통합기능안전솔루션medinianalyzeㅣ[email protected]