9.7 기능 안전(Functional Safety) 요구사항
Level 4 자율주행 시스템은 운전자의 개입 없이 운용 설계 영역 내에서 동적 운전 작업의 전부를 수행해야 하므로, 전기·전자(E/E) 시스템의 오작동으로부터 발생하는 비합리적 위험을 체계적으로 제거해야 한다. 이 절에서는 기능 안전 개념을 정의하는 국제 표준 체계, 위험원 분석과 안전 목표 도출 절차, 자동차 안전 무결성 등급(ASIL) 할당, 안전 수명주기 전반에 걸친 요구사항을 학습 순서에 따라 기술한다.
1. 기능 안전의 학술적 정의
기능 안전은 시스템 또는 그 구성 요소의 전기·전자적 오작동으로 인한 위해(harm)를 방지하기 위한 안전 성능을 가리킨다. 도로 차량 분야에서는 ISO 26262:2018 Road vehicles — Functional safety가 기능 안전을 “전기·전자 시스템의 오작동 거동(malfunctioning behaviour)에 의하여 야기되는 위해로부터의 비합리적 위험(unreasonable risk)의 부재“로 규정하고 있다. 여기서 오작동 거동은 시스템 사양과 합치하지 않는 거동을 의미하며, 무작위 하드웨어 결함과 체계적 결함 모두를 원인으로 포함한다.
기능 안전은 의도된 기능 자체의 한계로 인한 위험을 다루는 의도된 기능의 안전(Safety Of The Intended Functionality, SOTIF)과 구분된다. SOTIF는 ISO 21448:2022 Road vehicles — Safety of the intended functionality에서 별도로 규정되며, 인지 알고리즘의 오인식과 같이 결함이 아닌 성능 한계에서 비롯되는 위험을 다룬다. Level 4 자율주행에서는 두 표준이 상호 보완적으로 적용되어야 한다.
2. 적용 표준 체계
Level 4 자율주행 시스템에 적용되는 주요 국제 표준은 다음과 같다.
- ISO 26262:2018 (Part 1 ~ Part 12) — 도로 차량의 전기·전자 시스템에 대한 기능 안전 표준이며, 안전 수명주기, ASIL 결정, 하드웨어·소프트웨어 개발 요구사항, 생산·운용·서비스 단계의 요구사항을 규정한다.
- ISO 21448:2022 — 의도된 기능의 안전(SOTIF) 표준이며, 결함이 없음에도 불구하고 발생하는 성능 한계와 사용자 오용에 의한 위험을 다룬다.
- ISO/TR 4804:2020 Road vehicles — Safety and cybersecurity for automated driving systems — Design, verification and validation은 자동화 운전 시스템의 설계·검증·유효성 확인을 위한 일반 원칙을 제시한다. 이 문서는 후속 작업을 통해 ISO/AWI TS 5083으로 발전되었다.
- ANSI/UL 4600:2023 Standard for Safety for the Evaluation of Autonomous Products는 자율 제품의 안전 사례(safety case) 작성에 관한 평가 기준을 제시하며, 운전자가 없는 자율주행 시스템에 대한 목표 기반(goal-based) 평가를 가능하게 한다.
이 표준들은 단독으로 적용되지 않고, Level 4 시스템의 안전성을 입증하기 위한 통합적 안전 사례를 구성하기 위하여 결합되어 사용된다.
3. 안전 수명주기
ISO 26262 Part 2는 개념(concept) 단계부터 폐기(decommissioning) 단계까지를 포괄하는 안전 수명주기를 정의한다. 안전 수명주기는 다음의 주요 단계로 구성된다.
- 항목 정의(item definition): 분석 대상이 되는 시스템의 기능, 경계, 인터페이스, 운용 환경을 명세한다.
- 위험원 분석 및 위험 평가(Hazard Analysis and Risk Assessment, HARA): 운용 상황을 식별하고 잠재적 위험원을 도출하여 ASIL을 결정한다.
- 기능 안전 개념(Functional Safety Concept, FSC) 도출: 안전 목표(safety goal)를 만족시키기 위한 안전 요구사항을 시스템 수준에서 정의한다.
- 시스템·하드웨어·소프트웨어 개발: 기술 안전 개념(Technical Safety Concept, TSC)에 따라 V-모델 기반의 개발과 검증을 수행한다.
- 생산, 운용, 서비스 및 폐기: 안전과 관련된 항목의 양산, 현장 모니터링, 결함 보고를 수행한다.
Level 4 시스템은 운전자가 폴백(fallback)을 수행하지 않으므로, 안전 수명주기 전 단계에서 시스템 자체가 안전한 상태로 천이할 수 있는 근거를 제시해야 한다.
4. 위험원 분석 및 위험 평가(HARA)
HARA는 운용 상황(operational situation), 위험 사건(hazardous event), 위해(harm)의 인과 사슬을 분석하는 절차이다. ISO 26262 Part 3은 ASIL을 노출(Exposure, E), 제어 가능성(Controllability, C), 심각도(Severity, S)의 세 가지 매개 변수의 조합으로 결정하도록 규정한다.
- 노출 E: E0(매우 낮음)부터 E4(높음)까지 다섯 등급으로 분류되며, 해당 운용 상황이 발생할 확률을 나타낸다.
- 제어 가능성 C: C0(일반적으로 제어 가능)부터 C3(제어 불가능 또는 거의 제어 불가능)까지 네 등급으로 분류된다.
- 심각도 S: S0(부상 없음)부터 S3(생명을 위협하거나 치명적인 부상)까지 네 등급으로 분류된다.
ASIL은 QM, A, B, C, D의 다섯 등급으로 구분되며, ASIL D가 가장 높은 무결성 수준을 요구한다. ASIL은 다음의 결정 표에 따라 부여된다.
| 심각도 \ 노출 \ 제어 가능성 | C1 | C2 | C3 |
|---|---|---|---|
| S1 / E1 | QM | QM | QM |
| S1 / E2 | QM | QM | QM |
| S1 / E3 | QM | QM | A |
| S1 / E4 | QM | A | B |
| S2 / E1 | QM | QM | QM |
| S2 / E2 | QM | QM | A |
| S2 / E3 | QM | A | B |
| S2 / E4 | A | B | C |
| S3 / E1 | QM | QM | A |
| S3 / E2 | QM | A | B |
| S3 / E3 | A | B | C |
| S3 / E4 | B | C | D |
Level 4 자율주행 시스템에서는 운전자가 즉각적인 폴백을 수행할 수 없으므로 제어 가능성이 통상 C3로 평가된다. 이로 인하여 다수의 위험 사건이 ASIL C 또는 ASIL D로 할당되는 경향이 있으며, 이는 시스템 설계에 대한 무결성 요구를 상당히 높인다.
5. 안전 목표와 안전 상태
HARA의 결과로 도출된 각 안전 목표(safety goal)는 시스템 수준에서 위험 사건을 회피하거나 위해를 경감하기 위한 최상위 안전 요구사항이다. 안전 목표에는 안전 상태(safe state) 도달 시간과 결함 허용 시간 간격(Fault Tolerant Time Interval, FTTI)이 함께 명시된다. FTTI는 결함 발생 시점부터 위험 사건 발생 시점 사이의 시간으로 정의되며, 진단 시간 간격(Diagnostic Test Interval, DTI)과 결함 반응 시간 간격(Fault Reaction Time Interval, FRTI)의 합이 FTTI를 초과하지 않도록 설계되어야 한다.
Level 4 시스템에서 안전 상태는 즉각적인 정차만을 의미하지 않으며, 9.9에서 후술하는 최소 위험 상태(Minimal Risk Condition, MRC)와 정합되도록 정의되어야 한다. 즉, 시스템이 차량을 차로 외부 또는 안전한 정차 지점으로 이동시키는 동안에도 결함이 전파되지 않는 결함 허용(fault-tolerant) 거동이 요구된다.
6. 하드웨어 무결성 요구사항
ISO 26262 Part 5는 무작위 하드웨어 결함에 대한 정량적 요구사항을 규정한다. 핵심 지표는 다음과 같다.
- 단일 점 결함 지표(Single-Point Fault Metric, SPFM): 안전 메커니즘에 의하여 다루어지지 않는 단일 점 결함의 비율로, ASIL D는 99% 이상, ASIL C는 97% 이상이 권고된다.
- 잠재 결함 지표(Latent Fault Metric, LFM): 안전 메커니즘에 의하여 검출되지 않는 잠재 결함의 비율로, ASIL D는 90% 이상, ASIL C는 80% 이상이 권고된다.
- 무작위 하드웨어 결함의 확률적 지표(Probabilistic Metric for random Hardware Failures, PMHF): ASIL D는 시간당 10^{-8} 미만, ASIL C는 시간당 10^{-7} 미만이 권고된다.
이러한 지표는 결함 모드 영향 및 진단 분석(Failure Modes, Effects and Diagnostic Analysis, FMEDA)을 통하여 산출되며, 진단 커버리지(diagnostic coverage)의 정량적 평가를 요구한다.
7. 소프트웨어 무결성 요구사항
ISO 26262 Part 6은 소프트웨어 개발에 대한 요구사항을 ASIL 등급에 따라 차등 적용한다. 주요 요구사항은 다음과 같다.
- 모듈성, 캡슐화, 강결합 회피 등의 아키텍처 원칙을 준수해야 한다.
- 코딩 가이드라인 준수가 요구되며, MISRA C:2012와 같은 산업 표준의 적용이 일반적이다.
- 단위 검증, 통합 검증, 시스템 검증 단계에서 등급별로 요구되는 기법(예: 등가 클래스 분석, 경계값 분석, 구조적 커버리지 측정)이 차등적으로 규정된다.
- 구조적 커버리지 측면에서 ASIL D는 분기 커버리지(branch coverage)와 변경된 조건/결정 커버리지(Modified Condition/Decision Coverage, MC/DC)가 매우 권고된다.
Level 4 자율주행에서는 인공 신경망 기반 모듈이 핵심적인 인지·판단 기능을 수행하므로, 전통적인 ISO 26262의 개발 절차만으로는 신경망의 안전성을 입증하기 어렵다. 이에 ISO/PAS 21448과 ISO/AWI TS 5083은 데이터 기반 함수에 대한 추가적인 안전 논증 절차를 제시한다.
8. 기능 안전과 SOTIF의 통합
ISO 21448은 알려진 안전 시나리오(area 1), 알려진 비안전 시나리오(area 2), 알려지지 않은 비안전 시나리오(area 3), 알려지지 않은 안전 시나리오(area 4)의 네 영역을 정의한다. 안전성 입증은 area 2와 area 3을 충분히 작은 잔여 위험으로 축소하는 절차로 정의된다. Level 4 시스템에서는 다음과 같은 절차가 요구된다.
- 의도된 기능과 그 한계의 명세
- 트리거 조건(triggering condition)의 식별과 분류
- 검증·유효성 확인을 통한 잔여 위험의 정량화
- 운용 단계에서의 현장 모니터링 및 학습 데이터의 갱신
SOTIF 분석의 결과는 기능 안전의 안전 목표와 결합되어 통합 안전 사례에 반영된다.
9. 안전 사례(Safety Case)
ANSI/UL 4600:2023은 자율 제품에 대한 안전 사례 작성을 위한 평가 기준을 제시한다. 안전 사례는 명시적 주장(claim), 그 주장을 뒷받침하는 논증(argument), 논증의 근거가 되는 증거(evidence)의 구조로 작성된다. Level 4 자율주행 시스템의 안전 사례는 다음의 측면을 모두 포함해야 한다.
- 운용 설계 영역의 정의와 그 외부에서의 거동
- 기능 안전 및 SOTIF 측면의 잔여 위험
- 사이버 보안(ISO/SAE 21434:2021)과의 정합성
- 머신러닝 기반 구성 요소의 데이터·학습·검증 절차
- 현장 운용 데이터 기반의 지속적 안전성 입증
안전 사례는 단일 시점의 산출물이 아니라 시스템의 수명주기 전반에 걸쳐 갱신되는 살아있는 문서(living document)로서 관리된다.
10. 출처 및 버전 정보
- ISO 26262:2018, Road vehicles — Functional safety, Parts 1–12, International Organization for Standardization
- ISO 21448:2022, Road vehicles — Safety of the intended functionality, International Organization for Standardization
- ISO/TR 4804:2020, Road vehicles — Safety and cybersecurity for automated driving systems — Design, verification and validation, International Organization for Standardization
- ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering, International Organization for Standardization 및 SAE International
- ANSI/UL 4600:2023, Standard for Safety for the Evaluation of Autonomous Products, Underwriters Laboratories
- SAE J3016_202104, Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles, SAE International