Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
시스템 소프트웨어 개발
[medini analyze] 자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 방안 (2)
2026년 01월 22일

자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 방안 (2)

자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 방안 (1) 보러 가기

자율 주행 자동차에 대한 제어 가능성

HARA의 수행은 OEM이 안전과 관련된 새로운 시스템을 탑재한 자동차를 생산하는데 있어 최초1로 수행되는 프로세스이다. HARA를 통해 개발되는 Item의 기능을 기반으로 오동작과 그로 인한 위험을 파악하는 등의 활동을 통해 철저하게 안전 측면을 고려한 ASIL 등급이 결정되며 협력 업체들은 이러한 OEM의 최상위 안전 요구사항을 기반으로 System, Hardware, Software를 개발하게 된다 (그림 1참조).

<그림 1> ISO 26262를 준수하는 안전 요구사항의 흐름

ASIL 및 최상위 안전 요구사항을 결정하는데 있어 HARA는 매우 중요하며, 특히 실제 차량 수준에서 분석되는 운영 상황 및 운영 시나리오가 핵심적인 역할을 수행한다. ASIL을 결정함에 있어 심각도, 발생 빈도, 제어 가능성에 대한 가이드라인은 SAE J2980 - Considerations for ISO 26262 ASIL Hazard Classification 및 독일 자동차 협회인 VDA에서 발간한 VDA 702 - Situationskatalog E-Parameter nach ISO 26262-3에 자세하게 설명되어 있다.

그러나 최근 자율 주행 자동차에 대한 관심이 높아지고 SAE 의 자율 주행 Level 3 등급 이상의 자율 주행 자동차가 개발됨에 따라 자율 주행 자동차를 대상으로 한 ISO 26262 대응에 대한 요구가 높아지고 있다. 자율 주행 자동차의 경우 기능이 제대로 정의되어 있다고 하더라도 차량의 제어권을 차량 스스로 가지고 있기 때문에 정확한 기능 수행의 범위를 설정하는 것이 어렵고, 동일한 운영 시나리오라고 하더라도 재연성이 거의 불가능하기 때문에 많은 OEM 들이 HARA를 수행하는 데 불편함을 겪고 있다.

기존 차량의 HARA에서는 위험한 상황에 직면했을 때 보편적인 운전자가 위험을 회피할 수 있는 Parameter를 제어 가능성이라고 하여 C0 ~ C3로 구분하고 각각의 등급에 대한 회피 확률을 명시하였다.

Class

Title

Description

C0*)

Controllable

in general

If dedicated regulations exist for a particular hazard, Controllability may be rated C0 when it is consistent with the corresponding existing experience concerning sufficient Controllability.

For use of C0 refer ISO 26262-3:2018, 7.4.3.8.

C1

Simply

controllable

99% or more of all drivers or other traffic participants are usually able to avoid the specified harm.

C2

Normally

controllable

90% or more of all drivers or other traffic participants are usually able to avoid the specified harm.

C3

Difficult to

control or uncontrollable

Less than 90% of all drivers or other traffic participants are usually able to avoid the specified harm

* No ASIL is assigned for C0

NOTE: Description has used the “specified harm” based on ISO26262-3:2018,7.4.3.7, Note 2

<표 3> ISO 26262:2018에 명시된 제어 가능성 (Controllbilty) 등급 비교

하지만 자율 주행 자동차의 경우 앞서 언급한 바와 같이 크게 1) 운전자 제어 모드와 2) 자율 주행 모드로 두 가지의 주행 모드로 나눌 수 있다. 운전자 제어 모드인 상황에서는 Table 3에 명시된 기준을 활용하여 기존의 차량과 동일하게 등급을 부여할 수 있으나, 2) 자율 주행 모드의 경우 차량의 제어권을 차량 자체가 가지고 있기 때문에 제어 가능성에 대한 등급을 결정하는 것이 불가능하다. 바꾸어 말하면 자율 주행 모드에 대한 운영 상황을 최대한 세분화하여 각각의 상황에 대한 등급을 결정하거나, 모든 운영 상황에 대해 항시 최대 수준의 제어 가능성을 부여하는 방법으로의 접근이 가능하다.

가령 자율 주행 모드에서 주행 하던 중 발생한 위험 상황 – 운전자 제어 모드에서 충분히 회피 가능한 수준의 위험 상황 - 에서 차량의 제어권을 담당하는 Software의 오작동으로 인해 차량의 제어권을 운전자에게 어떠한 신호 없이 인계 하는 경우 운전자는 갑작스러운 제어권의 획득으로 인해 차량의 제어가 기존 C1 등급 수준에서 C2또는 C3 등급 수준으로 상향 조정이 될 수 있다. 이러한 경우를 미연에 방지하기 위해 운전자 주행이나 자율 주행 모드 모두에게 최고 등급의 제어 가능성을 부여하는 방법이 있다.

이러한 방법은 위험 상황에 대한 차량의 대처에 대한 적극적인 대처가 가능한 System을 개발 할 수 있으나 개발 비용의 상승으로 직결된다는 문제를 가지고 있다. 또한 제어 가능성을 최고 등급인 C3로 부여함에 따라 S + E + C의 합이 최저 수준인 3이 아니라 5가 되어 전체적인 ASIL 결정을 위한 범위가 대폭 감소한다는 문제점이 있다.

자율 주행 자동차에 대한 HARA

자율 주행 자동차를 대상으로 한 HARA에서는 앞서 언급한 바와 같이 제어 가능성을 최고 등급인 C3로 반영하는 것이 가장 바람직하다고 할 수 있다. 자율 주행 자동차에 탑재된 AEB (Autonomous Emergency Brake)가 고속도로를 주행하던 중 도로 상에서 동물을 발견한 경우를 예를 들면 SAE J2980에 따라 심각도 S는 2를 VDA 702에 따라 노출 빈도 E도 2를 부여할 수 있으며 제어 가능성 C는 최고 등급인 3을 부여하여 최종 ASIL은 A가 결정된다.

<그림 7> AEB에 대한 Initial HARA Table

일반적인 차량의 경우에서는 위의 <그림 7>에 도식화 한 HARA Table이 충분한 타당성을 가질 수 있다. 심각도나 노출 빈도의 경우 관련 가이드인 SAE J2980이나 VDA 702 가이드에서 제시하는 기준을 적용할 수도 있고, 가이드 상에서 제시하는 등급이 AEB가 탑재되어 판매가 이루어지는 국가의 도로 상황이나 운전 관습과 같은 요인을 고려하였을 때 일부 부적절한 등급인 경우에 한해서는 납득이 가능한 수준에서 조절이 가능하다 (그러나 대부분의 경우 SAE J2980이나 VDA 702에서 제시하는 범위를 크게 벗어나지 않는다.).

그러나 일반 차량과 자율 주행 차량의 HARA에서 가장 큰 차이라고 할 수 있는 제어 가능성 C는 큰 차이를 나타낼 수 있다. 고속도로를 주행 중인 일반 차량이 도로 상에서 동물을 발견한 경우 통상적인 상황이라면 적어도 90% 이상의 회피는 가능할 것이다. 따라서 제어 가능성 C 등급이 C2 수준으로 낮아질 것으로 예상되며 심각도와 노출 빈도 그리고 제어 가능성 등 모든 인자가 “2”가 되어 최종 안전 무결성 수준은 QM 수준으로 ISO 26262에 대한 대응이 불필요하게 된다.

실제로 자율 주행 자동차가 자율 주행 모드 중 위험에 직면한 상황에서 제어권을 갑작스럽게 운전자에게 부여하는 경우 운전자는 제어권을 상실하게 될 확률이 높으며 이는 사고로 이어질 확률이 높아지게 된다. 따라서 자율 주행 자동차를 대상으로 HARA를 진행하는 경우에는 기존 차량의 HARA와 비교하여 접근 방식을 달리 해야 한다. 즉, 일반 차량의 주행 상황 분석 시 활용한 환경 영향 인자나 주행 상황 인자는 동일하게 사용하되 자율 주행 모드에서만 구현되는 다양한 상황을 고려해야 한다. 자율 주행 차량 역시 주행 중 교통 규칙을 준수하여야 하나, 의도치 않은 오류로 인해 교통 신호를 제대로 인식하지 못하거나 주변에 있는 차량이 규칙을 위반한 경우가 추가로 고려되어야 한다. 자율 주행 자동차의 HARA 수행 시 추가로 고려해야 하는 부분은 교통 규칙뿐만 아니라 갑작스러운 통신의 실패나 운전 모드간의 혼선, 전기/전자 장치로 제어되는 제동, 조향 등의 실패 등 차량 주행에서 발생할 수 있는 상황도 고려해야 한다. 기존 차량의 경우 차량 주행 상황은 대부분 위험을 야기할 수 있는 잠재적 요인으로 식별되었지만, 자율 주행 자동차의 경우에는 각각의 상황에 직면한다고 하더라도 기능을 정상적으로 수행해야 하므로 기존에 비해 모든 상황에 대한 기준을 세분화 할 필요가 있다.

<그림 7>의 경우 자율 주행 자동차가 고속도로 주행 중 동물을 발견하는 상황이라고 한다면, 기존 차량에 대한 위험 상황의 정의와는 다르게 표현을 해야 한다. 모든 동물이 차량과 충격 시 위험한 상황을 야기 시키는 것은 아니기 때문에 개체의 중량을 세분화 하여 20kg 미만, 20kg 이상 등으로 구분할 필요가 있다. 20kg 미만의 개체가 도로 상에서 출현하는 경우가 20kg 이상의 개체가 출현하는 경우와 노출 빈도 상에서는 유사하다고 하더라고 충격으로 인한 심각도에서는 적어도 한 등급 이상의 차이는 발생할 수 있다. 즉, 기존 차량의 주행 상황에서 도식한 “동물 발견”을 개체의 무게로 세분화 하는 경우 20kg 미만 개체는 심각도가 한 등급 하향되어 ASIL이 부여 되지 않는 QM을 부여할 수 있다 (그림 8 참조)

<그림 8> AEB에 대한 Refine된 HARA Table

기존 차량을 대상으로 한 위험원 분석 및 리스크 평가는 개발 대상 Item에 대한 정의 후 오작동을 도출하고 이로 인한 고장을 정의한다. 이후 주행 상황에 대한 분석이 완료되면 각각의 주행 상황과 고장을 조합하여 위험 이벤트를 판정하며 동시에 심각도, 노출 빈도 및 제어 가능성 등급을 부여하여 자동차 안전 무결성 등급 (ASIL)을 결정하게 된다. 일반적으로 주행 상황에 대한 분석은 큰 틀에서 변경되는 경우가 거의 없고, 다만 개발 대상 Item의 기능이 관여하는 범위에 따라 주행 상황 초점이 변경된다.

그러나 자율 주행 자동차의 경우 개발 대상 Item과는 거의 무관하게 차량 내 조향, 제동, 가속 혹은 감속 상황과 연계 되어 기능을 수행하기 때문에 주행 상황에 대한 분석이 가장 중요한 요소가 된다.

결론

자동차를 생산하는 OEM 측면에서는 차량 사고에 대한 책임이 있기 때문에 협력 업체와의 개발을 시작할 때 가급적 높은 ASIL 등급 부여를 희망하며, 반대로 협력 업체의 경우 개발 비용이나 시간 문제 등으로 인해 가능한 낮은 ASIL 등급을 OEM으로부터 할당 받기를 요구한다.

자율 주행 자동차의 경우 기존의 차량과 대비하여 보다 높은 수준의 안전이 확보되어야 한다는 측면을 고려하고, 차량 제어의 권한이 차량 스스로에게 있다는 것을 감안하면 제어 가능성을 최고 수준으로 부여한 접근 방식이 ISO 26262를 충족시키는 개발 방법이라고 할 수 있다. 물론 제어 가능성을 최고 수준으로 부여하기 때문에 발생할 수 있는 기존 차량, 동일 Item 탑재 기준 ASIL 등급에 비해 자율 주행 자동차에 탑재되는 Item의 ASIL 등급이 상향되는 문제는 있지만, 완벽한 안전성이 확보 되어야 하는 자율 주행 자동차의 특성을 감안한다면 충분히 고려할 수 있는 방법론이라고 할 수 있다.

MDS인텔리전스

통합 기능 안전 / 사이버 보안 엔지니어링 솔루션, medini analyze

E. medini@mdsit.co.kr