자주자동차를 대상으로 한 리스크 분석 및 Risk 평가방안(2)▶자주자동차를 대상으로 한 리스크 분석 및 Risk 평가방안(1)을 보러 가는 자율주행 자동차에 대한 제어가능성 HARA의 수행은 OEM이 안전과 관련된 새로운 시스템을 탑재한 자동차를 생산하는데 있어서 처음으로 이루어지는 프로세스이다. HARA를 통해 개발되는 Item의 기능을 기반으로 오동작과 그로 인한 위험을 파악하는 등의 활동을 통해 철저하게 안전을 고려한 ASIL 등급이 결정되며 협력사는 이 OEM의 최상위 안전요구사항을 기반으로 System, Hardware, Software를 개발하게 된다(그림 1 참조).
<그림 1> ISO26262를 준수하는 안전요구사항의 흐름 ASIL 및 최상위 안전요구사항을 결정하는 데 HARA는 매우 중요하며 특히 실제 차량수준에서 분석되는 운영상황 및 운영시나리오가 핵심적인 역할을 한다. ASIL을 결정함에 있어서 심각도, 발생빈도, 제어 가능성에 대한 가이드라인은 SAEJ2980-Considerations for ISO262 ASIL Hazard Classification 및 독일 자동차 협회인 VDA702-Situation skatalog E-Parameternach ISO262-3에 자세히 설명되어 있다.
하지만 최근 자율주행자동차에 대한 관심이 높아지고 SAE의 자율주행 Level 3등급 이상의 자율주행자동차가 개발되면서 자율주행자동차를 대상으로 한 ISO 26262 대응에 대한 요구가 커지고 있다. 자율주행자동차의 경우 기능이 올바르게 정의되어 있어도 차량의 제어권을 차량 스스로 갖고 있기 때문에 정확한 기능수행 범위를 설정하기 어렵고, 동일한 운영 시나리오라도 재연성이 거의 불가능해 많은 OEM들이 HARA를 진행하는데 불편을 겪고 있다.
기존 차량의 HARA에서는 위험한 상황에 직면했을 때 보편적인 운전자가 위험을 회피할 수 있는 Parameter를 제어 가능성으로서 C0~C3로 구분하고, 각각의 등급에 대한 회피 확률을 명시했다.
ClassTitleDescriptionC0*)Controllablein generalIf dedicated regulations exist for a particular hazard, Controllability may be rated C0 when it is consistent with the corresponding existing experience concerning sufficient Controllability.For use of C0 refer ISO 26262-3:2018, 7.4.3.8.C1Simplycontrollable99% or more of all drivers or other traffic participants are usually able to avoid the specified harm.C2Normallycontrollable90%or more of all drivers or other traffic participants are usually able to avoid the specified harm.C3Difficult tocontrol or uncontrollableLess than 90%of all drivers or other traffic participants are usually able to avoid the specified harm*No ASIL is assigned for C0NOTE:Description has used the”sp ISO26262-3:2018,7.4.3.7, Note2<표 3>ISO26262:2018에 명시된 제어 가능성(Controllbilty) 등급 비교
그러나 자율주행자동차의 경우 앞에서 설명한 바와 같이 크게 1)운전자제어모드와 2)자율주행모드의 두 가지 주행모드로 나뉜다. 운전자 제어 모드 상황에서는 Table3에 명시된 기준을 활용하여 기존 차량과 동일하게 등급을 부여할 수 있으나 2) 자율주행 모드의 경우 차량의 제어권을 차량 자체가 가지고 있기 때문에 제어 가능성에 대한 등급을 결정하는 것이 불가능하다. 다시 말해 자율주행 모드에 대한 운영상황을 최대한 세분화하여 각각의 상황에 대한 등급을 결정하거나 모든 운영상황에 대해 상시 최대수준의 제어가능성을 부여하는 방식으로 접근이 가능하다.
예를 들어 자율주행모드로 주행 중 발생한 위험상황-운전자제어모드로 충분히 회피 가능한 수준의 위험상황-에서 차량의 제어권을 담당하는 Software의 오작동으로 인해 차량의 제어권을 운전자에게 아무런 신호없이 인계받을 경우 운전자는 갑작스런 제어권 획득으로 차량의 제어가 기존의 C1레벨에서 C2 또는 C3레벨로 상향조정된다. 이러한 경우를 미연에 방지하기 위해 드라이버 주행이나 자율주행 모드 양쪽에 최고 등급의 제어 가능성을 부여하는 방법이 있다.
이러한 방법은 위험 상황에 대한 차량 대처에 대한 적극적인 대응이 가능한 System을 개발할 수 있지만, 개발비 상승으로 직결된다는 문제를 안고 있다. 또한 제어가능성을 최고등급인 C3에 부여함으로써 S+E+C의 합이 최저수준인 3이 아니라 5가 되어 전체적인 ASIL 결정을 위한 범위가 대폭 감소한다는 문제점이 있다.자율주행자동차에 대한 HARA 자율주행자동차를 대상으로 한 HARA에서는 전술한 바와 같이 제어가능성을 최고등급인 C3에 반영하는 것이 가장 바람직하다고 할 수 있다. 자율주행 자동차에 탑재된 AEB (Autonomous Emergency Brake)가 고속도로를 주행 중 도로상에서 동물을 발견한 경우를, 예를 들어 SAEJ2980에 의해 심각도 S는 2를 VDA 702에 의해서 노출빈도 E도 2를 부여할 수 있으며 제어 가능성 C는 최고 등급의 3을 부여하고, 최종 ASIL은 A가 결정된다.
<그림 7> AEB에 대한 InitialHA RATable 일반적인 차량의 경우는 상기 <그림 7>에 도식화한 HARATable이 충분한 타당성을 갖는다. 심각도나 노출 빈도의 경우, 관련 가이드인 SAEJ2980이나 VDA702 가이드에서 나타내는 기준을 적용할 수도 있으며, 가이드 상에서 나타내는 등급이 AEB 탑재로 판매되는 국가의 도로상황이나 운전관습과 같은 요인을 고려했을 경우, 일부 부적절한 등급의 경우에 한해서는 납득할 수 있는 수준으로 조절이 가능하다(그러나, 대부분의 경우 SAEJ2980이나 VDA에서 나타내는 범위를 크게 702로 나타내었다.
그러나 일반차량과 자율주행차량의 HARA에서 가장 큰 차이라고 할 수 있는 제어가능성 C는 큰 차이를 보일 수 있다. 고속도로를 주행중인 일반 차량이 도로상에서 동물을 발견했을 경우, 통상의 상황이라면 적어도 90%이상의 회피는 가능할 것이다. 따라서 제어가능성 C등급이 C2레벨로 떨어질 것으로 예상되며 심각도나 노출빈도, 제어가능성 등 모든 인자가 2가 되고 최종안전성 레벨은 QM레벨로 ISO26262에 대한 대응이 불필요해진다.
실제로 자율주행 자동차가 자율주행 모드 중 위험에 처한 상황에서 제어권을 갑자기 운전자에게 부여할 경우 운전자는 제어권을 상실할 확률이 높고 이는 사고로 이어질 확률이 높아진다. 따라서 자율주행자동차를 대상으로 HARA를 시행하는 경우에는 기존 차량의 HARA와 비교하여 접근방식을 달리 해야 한다. 즉 일반 차량의 주행 상황을 분석할 때 활용한 환경 영향 인자나 주행 상황 인자는 동일하게 사용하지만 자율 주행 모드에서만 구현되는 다양한 상황을 고려해야 한다. 자율주행 차량도 주행 중 교통규칙을 준수해야 하지만 뜻하지 않은 오류로 교통신호를 제대로 인식하지 못하거나 주변 차량이 규칙을 위반한 경우가 추가로 고려돼야 한다. 자율주행자동차 HARA 수행시 추가로 고려해야 할 부분은 교통법규뿐만 아니라 갑작스러운 통신실패나 운전모드간 혼선, 전기전자장치로 제어되는 제동, 조향 등의 실패 등 차량주행에서 발생할 수 있는 상황도 고려해야 한다. 기존 차량의 경우, 차량의 주행 상황은 거의 위험을 초래할 수 있는 잠재적 요인으로 식별됐으나 자율주행자동차의 경우 각각의 상황에 직면하더라도 정상적으로 기능을 수행해야 하기 때문에 기존 대비 모든 상황에 대한 기준을 세분화할 필요가 있다.
<그림 7>의 경우 자율주행자동차가 고속도로 주행 중 동물을 발견하는 상황이라면 기존 차량에 대한 위험 상황의 정의와는 다르게 표현해야 한다. 모든 동물이 차량과 충격 시에 위험한 상황을 일으키는 것은 아니기 때문에, 개체의 중량을 세분화해서 20kg 미만, 20kg 이상 등으로 구분할 필요가 있다. 20kg 미만의 개체가 도로상에서 출현하는 경우가 20kg 이상의 개체가 출현하는 경우와 노출 빈도상으로는 유사하다고 해도 충격에 의한 심각도에서는 적어도 1등급 이상의 차이는 발생할 수 있다. 즉, 기존 차량의 주행 상황으로 도식한 「동물 발견」을 개체의 무게로 세분화할 경우, 20kg 미만 개체는 심각도가 한 단계 떨어져, ASIL가 부여되지 않는 QM을 부여할 수 있다(그림 8 참조).
<그림 8> AEB에 대한 Refine 주어진 HARATable 기존 차량을 대상으로 한 위험 평가는 개발대상 아이템에 대한 정의 후 오작동을 도출하고 이로 인한 고장을 정의한다. 이후 주행상황 분석이 완료되면 각각의 주행상황과 고장을 조합해 위험 이벤트를 판정하고 심각도, 노출빈도 및 제어가능성 등급을 부여해 자동차안전무결성등급(ASIL)을 결정하게 된다. 일반적으로 주행상황에 대한 분석은 큰 틀에서 변경되는 일이 거의 없으며 다만 개발대상 아이템의 기능이 관여하는 범위에 따라 주행상황 초점이 변경된다.
그러나 자율주행자동차의 경우 개발 대상 Item과는 거의 무관하게 차내 조향, 제동, 가속 또는 감속 상황과 연계하여 기능을 수행하기 때문에 주행 상황에 대한 분석이 가장 중요한 요소가 된다.결론자동차를 생산하는 OEM 측면에서는 차량사고에 대한 책임이 있기 때문에 협력회사와의 개발 시작 시 최대한 높은 ASIL등급 부여를 원하고, 반대로 협력회사의 경우 개발비용 및 시간문제 등으로 인해 가능한 낮은 ASIL등급을 OEM에서 할당하는 것을 요구한다.
자율주행자동차의 경우 기존 차량에 비해 보다 높은 수준의 안전이 확보되어야 한다는 측면을 고려해 차량 제어 권한이 차량 스스로에게 있음을 감안하면 제어 가능성을 최고 수준으로 부여한 접근 방식이 ISO 26262를 충족하는 개발방법이라 할 수 있다. 물론 제어 가능성을 최고 수준으로 부여하기 위해 발생할 수 있는 기존 차량, 동일 아이템 탑재 기준 ASIL 등급에 비해 자율주행 자동차에 탑재되는 Item의 ASIL 등급이 상향 조정되는 문제는 있지만 완벽한 안전성이 확보되어야 할 자율주행 자동차의 특성을 감안한다면 충분히 고려할 수 있는 방법론이다.한컴인텔리전스ㅣISE사업본부SPE팀통합기능안전솔루션 [email protected]