9.11 원격 운영(Remote Operation) 인터페이스

9.11 원격 운영(Remote Operation) 인터페이스

Level 4 자율주행 시스템에서 원격 운영 인터페이스는 차량이 자체적으로 처리할 수 없는 상황을 인간 운영자가 개입하여 해결하기 위한 통신·시각화·제어 체계이다. 원격 운영은 자율주행의 동적 운전 작업을 직접 대체하는 것이 아니라, 차량이 잘 정의된 안전 경계 내에서 동작하는 동안에 보조와 감독을 제공하는 절차로 학술적으로 정의된다. 이 절에서는 원격 운영의 분류, 표준, 통신·인지·제어 요구사항, 인적 요인, 안전 경계의 설계를 학습 순서에 따라 기술한다.

1. 원격 운영의 학술적 정의와 분류

SAE J3016_202104는 원격 운영자(remote operator)와 원격 운전자(remote driver)를 구분한다. 원격 운전자는 차량의 동적 운전 작업의 일부 또는 전부를 실시간으로 직접 수행하는 사용자이며, 원격 보조자(remote assistant)는 동적 운전 작업을 직접 수행하지 않고 의사 결정의 일부만을 제공하는 사용자이다. 이 구분은 책임 소재와 안전 요구사항에 직접적 영향을 미친다.

원격 운영은 일반적으로 다음의 세 가지 양상으로 분류된다.

  • 직접 원격 운전(direct teleoperation 또는 direct control): 운영자가 차량의 조향, 가속, 감속을 실시간으로 직접 명령한다. 통신 지연에 매우 민감하며, 주로 저속 또는 통제된 환경에서 적용된다.
  • 간접 원격 운전(indirect teleoperation 또는 supervisory control): 운영자가 차량에 목표 지점, 경로, 회피 방향, 차로 변경 의도와 같은 고수준 명령을 제공하고, 차량의 자율 주행 스택이 이를 안전하게 실행한다.
  • 원격 보조(remote assistance): 운영자가 인지 결과의 확인, 모호한 상황의 해석, 정책 예외의 승인과 같은 의사 결정 보조를 제공하지만 차량의 제어 입력에는 직접 관여하지 않는다.

원격 보조는 차량의 자율성을 가장 적게 침해하므로 Level 4 시스템에서 가장 일반적으로 채택된다. 직접 원격 운전은 통신 지연과 인적 요인의 한계로 인하여 일반 도로에서는 권고되지 않는다.

2. 적용 표준과 규제

원격 운영에 직접적으로 관련되는 표준과 규제는 다음과 같다.

  • SAE J3016_202104, Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles: 원격 운영자, 원격 운전자, 원격 보조자의 정의를 제공한다.
  • ISO/TR 4804:2020, Road vehicles — Safety and cybersecurity for automated driving systems — Design, verification and validation: 원격 운영의 안전 측면에 대한 일반 원칙을 제시한다.
  • ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering: 원격 운영 통신의 보안 요구사항을 다룬다.
  • UNECE Regulation No. 157, Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems: 자동 차로 유지 시스템에 대한 원격 감독의 요구사항을 부여한다.
  • BSI PAS 1881:2022, Assuring the operational safety of automated vehicles — Specification: 원격 감독을 포함한 운영 안전 보증의 요구사항을 정의한다.

이 외에도 미국 캘리포니아주의 자율주행 시험 차량 규정(California DMV Autonomous Vehicle Regulations, Article 3.7) 등 지역별 규제가 원격 운영의 자격, 보고 의무, 인증 요건을 규정한다.

3. 통신 요구사항

원격 운영의 안전성은 통신 망의 성능에 직접적으로 의존한다. 주요 요구사항은 다음과 같다.

  • 가용성(availability): 망 이중화와 다중 사업자 결합을 통하여 운용 환경 전반에 걸쳐 99.9% 이상의 가용성을 확보한다.
  • 단대단 지연: 원격 보조의 경우 수백 밀리초 수준이 허용되며, 직접 원격 운전은 100 ms 미만이 일반적으로 권고된다. 지연 변동(jitter)은 결정적 한계 이내로 유지되어야 한다.
  • 처리량: 비디오, LiDAR, 텔레메트리 데이터를 동시에 전송하기 위한 충분한 상향·하향 처리량이 요구된다.
  • 보안: 종단 간 암호화, 상호 인증, 메시지 무결성 보호, 키 갱신 절차가 요구된다.
  • 결함 검출: 통신 단절, 지연 급증, 패킷 손실, 인증 실패에 대한 즉각적 검출과 결함 운용 거동의 발동.

이러한 요구사항은 4G/5G 셀룰러 망, 위성 통신, 또는 둘의 조합을 통하여 충족된다. 5G NR의 초저지연·고신뢰 통신(Ultra-Reliable Low-Latency Communication, URLLC) 기능은 원격 운영의 핵심 기반으로 학술적으로 분석되어 왔다.

4. 운영 센터의 인지·시각화 요구사항

원격 운영자는 차량의 상황 인식(situational awareness)을 형성하기 위하여 차량의 센서 데이터와 내부 상태를 시각화하여 받아본다. 시각화 인터페이스는 다음의 정보를 통합적으로 제공해야 한다.

  • 다중 카메라 영상의 합성된 시야
  • LiDAR 점군 또는 깊이 정보의 시각화
  • 검출된 객체의 분류, 거리, 속도, 신뢰도
  • 차량의 위치, 자세, 속도, 가속도, 차로 정보
  • 사전 정의된 ODD 경계와 결함 상태
  • 시스템이 제안한 후보 거동 및 그 위험 비용 평가

시각화의 갱신율과 지연은 운영자의 의사 결정 품질에 직접적 영향을 미치므로, 인적 요인 연구의 결과를 반영하여 설계된다. ISO 9241-210:2019 Ergonomics of human-system interaction — Part 210: Human-centred design for interactive systems는 인간 중심 설계의 일반 원칙을 제시하며, 원격 운영 인터페이스의 설계에 적용된다.

5. 인적 요인

원격 운영자는 한정된 시간 내에 정확한 결정을 내려야 하므로, 인적 요인의 한계가 안전성에 결정적 영향을 미친다. 학술적으로 식별된 주요 한계는 다음과 같다.

  • 상황 인식의 저하: 원격 운영자는 차량 내 운전자에 비하여 청각·전정·체성감각 정보를 사용할 수 없으므로 상황 인식이 제한된다.
  • 모드 혼동(mode confusion): 차량의 자동화 수준과 원격 운영의 양상이 다양할 때 운영자가 현재 모드를 오해할 수 있다.
  • 주의 자원의 분산: 다수의 차량을 동시에 감독하는 경우 한 차량당 가용한 주의 자원이 감소한다.
  • 결정 지연: 통신 지연, 인지 부담, 결정 확신의 부족으로 인하여 지연이 누적될 수 있다.

이러한 한계를 완화하기 위하여 운영자 1인당 감독 차량 수의 상한, 강제 휴식 주기, 정기 훈련, 결정 지원 도구가 적용된다.

6. 안전 경계의 설계

원격 운영은 자율주행 시스템의 안전 경계를 침해하지 않아야 한다. 이를 위하여 원격 운영자가 입력하는 명령은 차량의 안전 모니터에 의하여 사전에 검증되며, 안전 포락선(safety envelope)을 벗어나는 명령은 거부되거나 보수적으로 수정된다. 학술적으로 다음의 원칙이 강조된다.

  • 차량은 원격 운영자의 부재 또는 통신 단절 시에도 9.9에서 설명된 최소 위험 상태로 천이할 수 있어야 한다.
  • 원격 운영자는 차량의 자율 안전 메커니즘을 임의로 비활성화할 수 없어야 한다.
  • 원격 운영의 모든 명령과 차량의 응답은 감사(audit)를 위하여 시간 동기화된 기록으로 보관되어야 한다.
  • 원격 운영의 자격, 훈련, 인증, 작업 시간, 동시 감독 차량 수에 관한 운영 절차가 사전에 정의되어야 한다.

7. 검증 절차

원격 운영 인터페이스의 검증은 통신 망 성능 시험, 인적 요인 시험, 결함 주입 시험, 시나리오 기반 시험의 결합으로 수행된다. 시나리오 기반 시험에서는 통신 단절, 지연 급증, 운영자 부재, 잘못된 명령 입력, 동시 다수 차량 비상 등의 상황에서 차량이 안전 경계를 유지하는지를 평가한다. 결과는 안전 사례에 통합되어 원격 운영의 안전성을 입증하는 증거로 활용된다.

8. 출처 및 버전 정보

  • SAE J3016_202104, Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles, SAE International
  • ISO/TR 4804:2020, Road vehicles — Safety and cybersecurity for automated driving systems — Design, verification and validation, International Organization for Standardization
  • ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering, International Organization for Standardization 및 SAE International
  • ISO 9241-210:2019, Ergonomics of human-system interaction — Part 210: Human-centred design for interactive systems, International Organization for Standardization
  • BSI PAS 1881:2022, Assuring the operational safety of automated vehicles — Specification, British Standards Institution
  • UNECE Regulation No. 157, Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems, United Nations Economic Commission for Europe
  • 3GPP TS 22.261 V18.0.0, Service requirements for the 5G system, 3rd Generation Partnership Project