SOTIF와 자율주행

자율주행에 있어서 가장 까다로운 부분인 기능 구현이 아닌 안전한 길을 제공하는 것이다!

 

위와 같은 조건에서 어떻게 안전한 길을 확보할 수 있을까?

우리가 과연 안전한 시스템을 만들 수 있을까? 사실 어떤 시스템도 100% 안전은 보장할 수 없다. (No free of risk). 왜냐하면 위험은 우리가 예측할 수 없는 방향으로 생성되는 게 부지기수이기 때문이다.

 

시스템이 안전하다는 것은 무엇을 의미하는가? 어떤 시스템도 위험으로부터 자유로울 수는 없다. 하지만 합리적인(reasonable) 수준의 risk가 되도록 관리할 수 있다. 자율주행에서 합리적인 수준이란 인간이 운전할 때보다 더 적은 사고를 낼 정도를 나타낸다.

 

GAMAB (Globally at least that good) 원리 (위험등급에 따라 어느 수준의 위험을 수용할 것인가는 일반적으로 인정된 위험도 수용 원리에 따라야 한다.)에 따라 위험이 존재하더라도 시스템이 갖는 이점이 더 크다면 안전하게 이용가능하다.

 

좋다. 인간이 운전할 때보다 더 적은 사고를 낼 수 있다면 우리는 자율주행을 시도해볼만 하다. 하지만 윤리적인 문제는 어떻게 할 것인가?

자율주행차는 어떤 선택을 해야 할까?

위 그림은 왼쪽에는 도둑이 돈을 훔쳐서 달아나는 도중이고 오른쪽엔 길고양이들이 길을 건너고 있는 상황이다. 자율주행자동차는 도둑을 쳐야 할까? 아니면 고양이를 쳐아 할까? 이런 윤리적 문제에 대한 해답을 자율주행자동차는 가지고 있을까?

 

사실 위와 같은 상황이 얼마나 자주 나올까? 그럴 때의 심각도는? 살면서 저런 상황을 본 적이 있긴 한가?

결국 어떤 시스템도 역시 윤리적 문제로부터 자유로울 수 없으며 모든 것은 가능성(Probability)에 달려있다.

얼마나 해당 상황이 노출(exposure)될 수 있는지, 그 상황의 심각도(severity)는 얼만큼인지 말이다.

 

불합리한 위험을 합리적인 위험수준으로 낮추자!

자율주행의 목표(사실 모든 차량의 시스템의 목표)는 100% 안전한 시스템을 만드는 것이 아니다. 그것은 실질적으로 불가능하기 때문이다. 자율주행의 위험 관리 목표는 불합리한 위험 수준을 합리적인 위험 수준으로 낮추는 것이다.

 

여기서 우리는 SOTIF가 필요하다. SOTIF란 Safety of the Intended Function의 약자로 ISO PAS 21448로 제정되어 있고 아직은 초안(draft) 상태다.

 

왜 SOTIF라고 특별히 ADAS보다 자율주행에 밀접한 관련이 있나?결국 ADAS는 운전자가 책임을, 자율주행은 제조사가 책임을 지기 때문이다.

LEVEL 2단계까지는 운전자의 책임. LEVEL3부터는 시스템(제조사)의 책임

 

근데 이미 우리는 안전관련 기준이 있지 않나? ISO26262!! 왜 우리는 또 다른 기준이 필요하지?

사실 ISO26262는 한 종류의 위험밖에 대응하지 않는다. 따라서 다른 종류의 위험은 다른 종류의 표준으로 관리되어야 한다.

 

위험의 분류

 

ISO26262는 최종 책임이 운전자에 있다고 가정한다. 따라서 자율 주행에는 맞지 않다.

SOTIF는 시스템의 비정상적인 사용 시나리오, 시스템 한계 등을 고려한다.

 

비정상적인 사용이란 시스템이 의도하지 않은 사용을 의미한다. 예를 들어 소화제는 소화가 안될 경우에 처방하면 유용한 약이지만 과다섭취 혹은 오남용하게 될 경우 사용자를 위험하게 할 수 있다. 그렇다고 소화제가 위험하다고 할 수 없다. 관리된 상태로 필요한 상황에서 적절한 양만큼 먹을 경우 안전하다.

또다른 예로 면도기는 사용자가 알맞게 사용할 경우 안전하지만 쓰고 나서 케이스에 넣지 않을 경우 위험할 수 있다.

차량에서도 해당 예제를 적용할 경우, 테슬라에서 핸들에 물병 놓고 전방주시 안하는 운전자들이 많다. 이는 사용자가 잘못 사용하는 경우에 해당한다.

위와 같은 예제들이 모두 ISO26262에서는 안전하다고 할 수 있지만 SOTIF에서 정의하는 비정상적인 사용 시나리오라고 할 수 있다.

 

시스템의 한계로는 비가 너무 많이 오거나 정면으로 해가 비칠 경우, 센서에 이상이 있을 수 있다.

시스템은 외란이 어디서 발생되는지 이해하고 이것이 시스템에 어떤 악영향을 미칠지 고려해야 한다.

 

다시 말해 SOTIF는 깊은 기능 이해, 오작동 시나리오, 시스템 한계를 고려하도록 한다.

 

하지만 우리가 가능한 모든 시나리오를 알 수 있을까? 거의 불가능하다.

우리가 알지못하는 안전하지 못한 시나리오가 SOTIF의 도전과제이다.

제품을 개발하면서 우리가 아는 범위를 확대시킬수밖에 없다.

우리가 얼마나 알고 있는지 어떻게 확신할 수 있을까?

결국 테스팅을 통해 데이터를 수집하고 이를 통해 자신감을 갖는 거이 중요하다.

 

왜 SOTIF는 다른분야보다 자동차 분야에 더 필요할까?

핵발전소, 기차, 비행기에 비해 차는 그 심각도는 적지만 시스템 및 시나리오는 훨씬 더 복잡하고 예측 불가능하다.

 

SOTIF 프로세스