2.10 최소 위험 상태(Minimal Risk Condition)와 대체 전략
1. MRC의 정의
최소 위험 상태(Minimal Risk Condition, MRC)는 SAE J3016 표준에서 정의하는 개념으로, 운전 자동화 시스템이 DDT를 더 이상 수행할 수 없거나 DDT의 수행이 종료된 후 차량이 도달하여야 하는 안전한 상태를 의미한다(SAE International, 2021). MRC는 충돌의 위험을 최소화하는 상태로서, 가장 일반적인 형태는 안전한 장소에서의 차량 정지이다.
MRC는 DDT Fallback의 목표 상태이다. DDT Fallback이 수행되는 과정에서 차량은 MRC에 도달할 때까지 안전을 유지하여야 하며, MRC에 도달한 후에는 더 이상의 주행이 수행되지 않는다.
2. DDT Fallback의 개념
DDT Fallback은 ADS가 DDT를 더 이상 수행할 수 없는 상황에서 MRC에 도달하기 위해 수행되는 대응 행동이다. DDT Fallback이 필요한 상황은 다음과 같다.
- ODD 이탈: 현재 운용 조건이 시스템의 ODD 범위를 벗어나는 경우
- 시스템 고장: 센서, 연산 장치, 액추에이터 등 핵심 구성 요소의 고장이 감지되는 경우
- 성능 저하: 악천후, 센서 오염 등으로 시스템의 인지 또는 제어 성능이 안전 기준 이하로 저하되는 경우
- 처리 불가 상황: 시스템이 적절히 대응할 수 없는 상황(예: 교통 통제원의 수신호, 도로 폐쇄 등)이 발생하는 경우
3. 등급별 DDT Fallback 수행 주체
DDT Fallback의 수행 주체는 SAE 등급에 따라 다르며, 이는 등급 분류의 핵심 기준 중 하나이다.
| 등급 | DDT Fallback 주체 | 메커니즘 |
|---|---|---|
| Level 0~2 | 인간 운전자 | 인간이 항시 OEDR을 수행하므로 즉시 개입 가능 |
| Level 3 | 인간 운전자 (요청 시) | 시스템이 제어권 전환 요청(Transition Demand)을 발행 |
| Level 4 | 시스템 | 시스템이 자율적으로 MRC에 도달 |
| Level 5 | 시스템 | 시스템이 자율적으로 MRC에 도달 (모든 환경) |
4. Level 3에서의 DDT Fallback
Level 3에서의 DDT Fallback은 제어권 전환(Transition of Control) 메커니즘을 통해 이루어진다. 시스템이 DDT를 지속할 수 없다고 판단하면 DDT Fallback-Ready User에게 제어권 전환 요청(Transition Demand)을 발행한다.
4.1 제어권 전환 과정
제어권 전환 과정은 다음의 단계로 구성된다.
- 이탈 예측(Exit Prediction): 시스템이 ODD 경계 도달 또는 성능 저하 등의 상황을 사전에 예측한다.
- 전환 요청 발행(Transition Demand): 시스템이 시각적, 청각적, 촉각적 신호를 통해 운전자에게 제어권 인수를 요청한다.
- 전환 시간(Transition Time): 운전자가 비운전 활동에서 복귀하여 상황 인식을 회복하고 DDT를 인수할 준비를 하는 시간이다.
- 제어권 인수(Take-Over): 운전자가 DDT를 인수하여 직접 운전을 수행한다.
- MRC 도달: 운전자가 차량을 안전한 상태로 유도한다.
4.2 운전자 미응답 시의 비상 전략
운전자가 제어권 전환 요청에 응답하지 않는 경우에 대비한 비상 전략이 필요하다. 이 경우 시스템은 다음과 같은 단계적 대응을 수행할 수 있다.
- 경고 강도의 점진적 증가 (시각 → 청각 → 촉각)
- 차량 속도의 점진적 감소
- 비상 경고등(Hazard Lamp) 점등
- 현재 차선 내 안전 정차 또는 갓길 정차 수행
이러한 비상 전략은 Level 3 시스템이 부분적으로 Level 4 수준의 DDT Fallback 기능을 보유하여야 함을 의미한다.
5. Level 4에서의 DDT Fallback
Level 4에서의 DDT Fallback은 시스템이 인간의 개입 없이 자율적으로 MRC에 도달하는 것을 의미한다. 이를 위해 시스템은 최소 위험 기동(Minimal Risk Maneuver)을 수행한다.
5.1 최소 위험 기동 (Minimal Risk Maneuver)
최소 위험 기동은 MRC에 도달하기 위해 시스템이 수행하는 일련의 안전 지향적 주행 행동이다. 기동의 유형은 상황에 따라 다르며, 다음의 사례를 포함한다.
현재 차선 정차(In-Lane Stop): 안전한 이동이 불가능한 경우, 현재 차선에서 점진적으로 감속하여 정차한다. 비상 경고등을 점등하여 후방 차량에게 정차 상황을 알린다.
갓길 정차(Pull-Over Stop): 갓길이 존재하는 경우, 차선 변경을 수행하여 갓길에 안전하게 정차한다. 이는 교통 흐름에 대한 영향을 최소화하는 보다 바람직한 MRC 형태이다.
안전 구역 이동(Move to Safe Harbor): 사전에 정의된 안전 구역(주차장, 비상 정차 구역 등)으로 이동하여 정차한다. 이를 위해서는 안전 구역의 위치 정보와 해당 구역까지의 경로 계획이 필요하다.
5.2 시스템 이중화 요구사항
Level 4의 자율적 DDT Fallback을 보장하기 위해서는 핵심 구성 요소의 이중화가 필수적이다.
| 구성 요소 | 이중화 필요성 | 이유 |
|---|---|---|
| 인지 센서 | 필수 | 주요 센서 고장 시에도 환경 인지 유지 |
| 연산 장치 | 필수 | 주 연산 장치 고장 시 비상 연산 수행 |
| 전원 공급 | 필수 | 주 전원 상실 시 비상 전원으로 MRC 도달 |
| 조향 시스템 | 필수 | 조향 고장 시에도 차선 유지 또는 갓길 이동 |
| 제동 시스템 | 필수 | 주 제동 고장 시 비상 제동 수행 |
| 통신 시스템 | 권장 | 원격 지원 요청을 위한 백업 통신 경로 |
6. MRC의 설계 원칙
MRC의 설계에는 다음의 원칙이 적용된다.
안전 우선 원칙: MRC는 탑승자, 주변 교통 참여자, 보행자의 안전을 최우선으로 고려하여 설계되어야 한다.
확실성 원칙: MRC는 모호하지 않은 명확한 상태로 정의되어야 한다. “안전한 정차“의 구체적 조건(위치, 속도, 차량 상태 등)이 명시적으로 정의되어야 한다.
도달 가능성 원칙: 시스템의 잔여 기능을 활용하여 MRC에 도달할 수 있어야 한다. 고장 모드 분석(Failure Mode and Effects Analysis, FMEA)을 통해 다양한 고장 시나리오에서의 MRC 도달 가능성을 검증하여야 한다.
교통 영향 최소화 원칙: MRC가 교통 흐름에 미치는 부정적 영향을 최소화하도록 설계되어야 한다. 가능한 경우 갓길 정차나 안전 구역 이동이 현재 차선 정차보다 선호된다.
7. 참고 문헌
- SAE International. (2021). Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles (J3016_202104).
- ISO. (2022). ISO 22737:2021 Intelligent transport systems — Low-speed automated driving (LSAD) systems for predefined routes — Performance requirements, system requirements and performance test procedures.
v1.0