10.3 ISO 21448 SOTIF: 의도된 기능의 안전성

10.3 ISO 21448 SOTIF: 의도된 기능의 안전성

ISO 21448 Road vehicles — Safety of the intended functionality는 결함이 없는 상태에서도 의도된 기능의 성능 한계, 사용자 오용, 또는 환경 조건의 변화로 인하여 발생할 수 있는 위험을 다루는 도로 차량 분야의 표준이다. 이 표준은 인지 알고리즘, 의사 결정 알고리즘, 인간-기계 상호작용과 같이 결함이 아닌 한계로부터 비롯되는 위험을 학술적으로 다루기 위하여 제정되었다. 이 절에서는 표준의 발전 과정, 적용 범위, 핵심 개념, 시나리오 분류, 분석 절차, 검증 방법을 학습 순서에 따라 기술한다.

1. 표준의 발전 과정

ISO 21448은 ISO/PAS 21448:2019의 형태로 처음 발간되었으며, 2022년에 정식 ISO 표준인 ISO 21448:2022로 발간되었다. PAS (Publicly Available Specification) 단계에서는 주로 운전자 보조 시스템(ADAS)의 SOTIF를 다루었으나, 정식 표준 단계에서는 자동화 운전 시스템과 머신러닝 기반 함수의 SOTIF로 적용 범위가 확장되었다.

2. 적용 범위와 기능 안전과의 관계

ISO 21448은 결함의 부재에도 불구하고 발생하는 비합리적 위험을 다룬다는 점에서 ISO 26262와 명확히 구분된다. 두 표준의 관계는 다음과 같이 요약된다.

표준위험 원인다루는 결함 종류
ISO 26262:2018E/E 시스템의 오작동무작위 하드웨어 결함, 체계적 결함
ISO 21448:2022의도된 기능의 성능 한계, 트리거 조건결함 없음(non-fault) 위험

자율주행 시스템에서는 두 표준이 상호 보완적으로 적용되며, 통합 안전 사례에 결합된다.

3. 핵심 개념

3.1 시나리오 4영역 모형

ISO 21448은 운용 시나리오 공간을 다음의 네 영역으로 분할한다.

  • 영역 1 (Area 1): 알려진 안전 시나리오(known safe)
  • 영역 2 (Area 2): 알려진 비안전 시나리오(known unsafe)
  • 영역 3 (Area 3): 알려지지 않은 비안전 시나리오(unknown unsafe)
  • 영역 4 (Area 4): 알려지지 않은 안전 시나리오(unknown safe)

SOTIF의 학술적 목적은 영역 2와 영역 3을 충분히 작은 잔여 위험으로 축소하는 것이다.

3.2 트리거 조건

트리거 조건(triggering condition)은 의도된 기능의 한계가 위험을 발생시키도록 활성화하는 환경 또는 입력 조건이다. 예를 들어 강한 역광은 카메라 기반 객체 검출의 트리거 조건이 될 수 있다. SOTIF 분석은 트리거 조건의 식별, 분류, 정량화를 핵심 활동으로 다룬다.

3.3 잔여 위험과 수용 기준

SOTIF 분석의 결과는 잔여 위험으로 표현되며, 잔여 위험은 사전에 정의된 수용 기준 이하로 유지되어야 한다. 수용 기준은 통계적 안전 목표(safety performance target)로 표현될 수 있으며, 자연 주행 데이터의 통계, 기준 운전자(reference driver)의 사고율, 사회적 수용 가능성 등에 기반하여 도출된다.

4. SOTIF 분석 절차

ISO 21448:2022는 다음의 절차를 규정한다.

  1. 의도된 기능의 사양: 기능의 설계 의도, 운용 설계 영역, 인터페이스, 사용자 가정의 명세
  2. 잠재적 기능 부족(functional insufficiency)의 식별: 기능의 한계로 인한 잠재적 위험 시나리오의 식별
  3. 트리거 조건의 식별과 평가: 트리거 조건의 분류, 발생 빈도, 잠재적 영향 평가
  4. SOTIF 위험의 평가: 시나리오별 위험의 정량적 또는 정성적 평가
  5. 위험 처리: 기능 변경, 운용 설계 영역 축소, 사용자 안내, 모니터링 등의 처리 조치
  6. 검증과 유효성 확인: 시뮬레이션, 실차 시험, 통계적 분석을 통한 잔여 위험의 평가
  7. 운용 단계의 모니터링과 학습: 현장 운용 데이터의 수집과 SOTIF 분석의 갱신

5. 머신러닝 기반 함수의 SOTIF

머신러닝 기반 인지·판단 함수는 학습 데이터의 분포에 의존하므로 분포 외 입력에서 성능이 저하될 수 있다. ISO 21448:2022는 머신러닝 기반 함수의 SOTIF 분석을 위하여 다음과 같은 추가 활동을 권고한다.

  • 학습 데이터의 충분성과 대표성에 대한 분석
  • 분포 외 검출 메커니즘의 평가
  • 적대적 입력에 대한 강건성의 평가
  • 운용 단계에서의 데이터 수집과 모형 갱신 절차의 평가
  • 안전 모니터에 의한 출력 검증

이러한 활동은 ISO/AWI TS 5083과 같은 후속 표준에서 더욱 정교하게 다루어진다.

6. 검증과 유효성 확인

SOTIF의 검증은 시나리오 기반 시험을 핵심으로 한다. 시나리오 카탈로그는 PEGASUS 프로젝트와 같은 공개 카탈로그에서 도출되거나, 자연 주행 데이터에서 추출된다. 검증의 충분성은 시나리오 공간의 커버리지로 평가되며, 다음의 기법이 학술적으로 활용된다.

  • 결합 분석(combinatorial analysis): 시나리오 매개 변수의 결합 커버리지 평가
  • 위험 기반 시험: 위험이 높은 시나리오에 시험 자원의 우선 배분
  • 합성 시나리오 생성: 적대적 시나리오와 경계 사례의 합성
  • 도메인 무작위화: 시뮬레이션 환경의 변화에 의한 일반화 평가
  • 폐회로 시뮬레이션: 차량의 반응을 포함하는 폐회로 평가

7. 출처 및 버전 정보

  • ISO 21448:2022, Road vehicles — Safety of the intended functionality, International Organization for Standardization
  • ISO/PAS 21448:2019, Road vehicles — Safety of the intended functionality, International Organization for Standardization (이전 PAS 참조)
  • ISO 26262:2018, Road vehicles — Functional safety, International Organization for Standardization
  • PEGASUS Project, Final Report, German Federal Ministry for Economic Affairs and Energy, 2019
  • ISO/AWI TS 5083, Road vehicles — Safety for automated driving systems — Design, verification and validation of automated vehicles (작업 중 단계)