9.9 최소 위험 상태(Minimal Risk Condition) 달성 전략

9.9 최소 위험 상태(Minimal Risk Condition) 달성 전략

Level 4 자율주행 시스템은 운전자가 폴백을 수행하지 않으므로, 시스템이 동적 운전 작업을 지속할 수 없는 상황에 처할 때에 스스로 위험을 최소화하는 안정 상태로 천이해야 한다. 이 안정 상태가 최소 위험 상태(Minimal Risk Condition, MRC)이며, MRC에 도달하기 위하여 수행되는 일련의 거동을 최소 위험 조작(Minimal Risk Manoeuvre, MRM) 또는 디미니쉬드 운용(diminished operation)으로 부른다. 이 절에서는 MRC의 학술적 정의, 발동 조건, MRM의 분류, 경로 결정 절차, 검증 방법을 학습 순서에 따라 기술한다.

1. 최소 위험 상태의 학술적 정의

SAE J3016_202104 Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles는 최소 위험 상태를 “자동화 운전 시스템 또는 사용자가 동적 운전 작업의 폴백을 수행한 결과로 도달한, 차량의 충돌 위험이 합리적으로 감소된 안정적인 정지 또는 운전 조건“으로 정의한다. 동일 표준은 최소 위험 조작을 “운용 설계 영역(ODD) 외부, 차량 결함, 또는 사용자에 의한 운전 권한 인수가 이루어지지 않은 상황에서 자동화 운전 시스템이 차량을 최소 위험 상태로 이동시키기 위하여 수행하는 절차“로 정의한다.

ISO 22737:2021 Intelligent transport systems — Low-speed automated driving (LSAD) systems for predefined routes — Performance requirements, system requirements and performance test procedures와 UNECE Regulation No. 157 Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems는 MRC의 구체적 요구사항을 부여하는 규제 문서로서, MRC의 정량적 지표와 시험 절차를 규정한다. 두 문서 모두 MRC가 단순한 정지가 아니라 차량의 위치, 자세, 신호 상태, 후속 차량과의 상호작용 등을 고려한 통합적 안정 상태임을 강조한다.

2. 최소 위험 상태의 발동 조건

MRC로의 천이는 다음과 같은 조건이 발생할 때에 발동된다.

  • 운용 설계 영역의 이탈: 차량이 사전 정의된 ODD의 경계에 접근하거나 이탈하였을 때
  • 시스템 결함: 인지, 측위, 판단, 제어, 액추에이터, 전원, 통신 등의 안전 관련 구성 요소에서 결함이 검출되어 동적 운전 작업의 지속이 불가능할 때
  • 환경 조건의 급변: 폭우, 폭설, 짙은 안개, 노면 결빙 등으로 인하여 인지 성능이 명세된 한계 미만으로 저하될 때
  • 외부 상황의 비정상성: 도로 폐쇄, 사고 현장, 공사 구역 등 사전 학습되지 않은 상황의 검출
  • 사용자 또는 원격 운영자의 명시적 요청: 차량 내 비상 정지 입력 또는 원격 운영자의 명령

이러한 발동 조건은 시스템 수준의 안전 모니터에 의하여 지속적으로 평가되며, 결함 허용 시간 간격(Fault Tolerant Time Interval, FTTI) 이내에 MRM이 활성화되도록 설계되어야 한다.

3. 최소 위험 조작의 분류

MRM은 차량의 즉각적 운동 상태와 주변 환경에 따라 다음과 같이 단계적으로 분류된다.

3.1 차로 내 정지(in-lane stop)

차량이 즉각적인 위협에 직면하였거나 더 안전한 위치로의 이동이 불가능할 때 차로 내에서 감속·정지한다. 이 거동은 가장 단순하지만 후속 차량과의 충돌 위험을 동반하므로, 비상등 점멸과 같은 신호 거동이 동반되어야 한다. 일반적으로 고속 도로의 본선 차로에서 차로 내 정지는 마지막 수단으로만 채택된다.

3.2 가장자리 차로로의 이동 후 정지

다차로 도로에서는 차량이 가장 우측 차로(또는 해당 지역의 통행 규칙에 따른 가장자리 차로)로 차로 변경을 수행한 후 정지한다. 이 거동은 본선의 교통 흐름에 미치는 영향을 감소시키지만, 차로 변경 동안 인지·판단 모듈이 정상적으로 동작해야 한다.

3.3 노변(shoulder)으로의 이동 후 정지

도로의 노변, 비상 주차대(emergency refuge area), 또는 사전 정의된 안전 정지 지점이 가용한 경우 차량은 해당 위치로 이동한 후 정지한다. 이 거동은 후속 교통과의 분리를 가장 효과적으로 달성하지만, 노변 인지의 정확성과 도로 가장자리에 대한 사전 지도 정보가 요구된다.

3.4 사전 정의된 안전 정지 지점으로의 이동

사전 정의된 ODD가 시 가지나 폐쇄 도로와 같이 통제된 환경인 경우, 차량은 다음 교차로, 정류장, 또는 지정된 안전 정지 지점까지 이동한 후 정지한다. 운영자는 사전에 안전 정지 지점의 지도 데이터베이스를 구축하여야 한다.

3.5 디미니쉬드 운용(diminished operation)

일부 결함이 동적 운전 작업의 일부 기능에만 영향을 미칠 때에는, 즉각적인 정지 대신 감소된 성능으로 동적 운전 작업을 지속하면서 다음 안전 정지 지점까지 이동한다. 디미니쉬드 운용은 차량의 운행 거리, 속도, 차로 변경 빈도 등을 제한한다.

이러한 단계는 위험을 가장 효과적으로 감소시키는 거동을 선택하기 위한 결정 트리로 구성된다.

4. 최소 위험 상태 달성 전략의 결정 절차

MRC 달성 전략은 다음의 절차로 결정된다.

  1. 결함 또는 위험 상황의 분류: 결함의 종류, 영향을 받는 기능, 잔여 능력을 분류한다.
  2. 잔여 운용 능력의 평가: 인지, 측위, 판단, 제어, 액추에이터의 각 모듈에 대하여 잔여 능력이 결정된다.
  3. 후보 거동의 생성: 잔여 능력으로 수행 가능한 후보 거동(차로 내 정지, 차로 변경 후 정지, 노변 이동, 디미니쉬드 운용 등)을 생성한다.
  4. 위험 비용 함수의 평가: 각 후보 거동에 대하여 충돌 위험, 후속 교통 영향, 정지 위치의 안전성, 정지 시간 등을 가중하는 위험 비용 함수를 평가한다.
  5. 최적 거동의 선택: 최소 비용을 가지는 거동을 선택하고, 선택된 거동의 실행 가능성을 재검증한다.
  6. 거동의 실행과 모니터링: 선택된 거동을 안전 모니터의 감시 하에 실행하며, 추가 결함이 발생하면 보다 보수적인 거동으로 재계획한다.

이러한 결정 절차는 결정론적 시간 한계 내에서 완료되어야 하므로, 실시간 운영체제와 결정성을 가지는 통신 망이 요구된다.

5. 최소 위험 상태에서의 차량 거동

MRC에 도달한 후의 차량 거동은 단순한 정지에 한정되지 않는다. ISO/TR 4804:2020과 UNECE R157은 MRC에서 다음의 거동을 요구한다.

  • 비상등의 자동 점등을 통한 후속 차량에 대한 통지
  • 주차 제동기의 적용과 변속기의 안전 위치(예: 주차 위치) 전환
  • 도어 잠금 해제 또는 잠금 유지에 대한 사전 정의된 정책의 실행
  • 원격 운영 센터로의 결함 정보 전송과 후속 조치 요청
  • 비상 호출(eCall) 시스템의 자동 활성화

이러한 거동은 기능 안전 표준이 요구하는 안전 상태(safe state)와 정합되도록 설계되어야 하며, 운전자가 부재한 상황에서 승객 보호와 도로 안전 모두를 만족해야 한다.

6. 최소 위험 상태 달성 전략의 검증

MRC 달성 전략의 검증은 시뮬레이션과 실차 시험의 결합을 통하여 수행된다.

  • 시나리오 기반 검증: 발동 조건별로 시나리오 카탈로그를 구축하고, 각 시나리오에서 MRM이 명세된 시간 내에 활성화되며 안전 비용 함수가 사전 정의된 기준 미만으로 유지됨을 시험한다.
  • 결함 주입 시험: 인지, 측위, 판단, 제어, 전원, 통신 모듈에 인위적 결함을 주입하고, MRM이 적시에 활성화되어 차량을 안정 상태로 이동시키는지를 확인한다.
  • 통계적 검증: 자연 주행 데이터(naturalistic driving data)와 합성 시나리오를 결합하여 MRC 달성 빈도와 그 안전성을 통계적으로 평가한다.
  • 폐회로 시뮬레이션: AlpaSim과 같은 시뮬레이션 프레임워크에서 MRM을 폐회로(closed-loop) 환경으로 평가하여 후속 차량의 반응까지 포함하는 상호작용을 검증한다.

검증의 결과는 안전 사례(safety case)에 통합되어, MRC가 운용 환경 전반에 걸쳐 합리적으로 달성됨을 입증하는 증거로 활용된다.

7. 출처 및 버전 정보

  • SAE J3016_202104, Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles, SAE International
  • ISO 26262:2018, Road vehicles — Functional safety, International Organization for Standardization
  • ISO 21448:2022, Road vehicles — Safety of the intended functionality, International Organization for Standardization
  • ISO/TR 4804:2020, Road vehicles — Safety and cybersecurity for automated driving systems — Design, verification and validation, International Organization for Standardization
  • ISO 22737:2021, Intelligent transport systems — Low-speed automated driving (LSAD) systems for predefined routes — Performance requirements, system requirements and performance test procedures, International Organization for Standardization
  • UNECE Regulation No. 157, Uniform provisions concerning the approval of vehicles with regard to Automated Lane Keeping Systems, United Nations Economic Commission for Europe
  • ANSI/UL 4600:2023, Standard for Safety for the Evaluation of Autonomous Products, Underwriters Laboratories