'완전' 자율주행 차량에 대한 안전기준, UL4600

[2020.04.21 RDX Live]

새로운 안전기준 개발의 필요성

자율주행차량의 안전성 평가에 대하여 다양한 정부 규제기관과 표준제정기관이 안전 가이드라인이나 ISO 26262, ISO/PAS 21448과 같은 기능안전 표준을 개발해왔는데, 이 안전기준들은 인간 운전자가 차량의 안전을 책임지는 방식으로 개발되어왔고, 지정된 특정 기술 요건이나 검증법을 도입한 설계 프로세스를 준수해야만 안전성을 획득할 수 있다. 뿐만 아니라 위험도가 높을 수록, 적정 수준의 위험 완화를 보장하기 위해 더 엄격한 공학적 요건을 충족해야 한다. 

 

그러나 자율주행을 비롯한 자동화 시스템 기술은 이러한 전통적인 안전기준이 다루는 범위(scope)를 능가한다. 더 높은 수준의 자동화 기술을 다루기 위해서는 아래와 같은 내용을 포함하는, 더 넓은 범위의 기준이 필요하다. 

• 복잡하고 비결정적이며(non-deterministic), 예측할 수 없는 반응을 보이는 머신러닝과 센서퓨전 등의 자율주행차량 기술

• (사고에 대한 책임이 없는) 인간 운전자가 없는 차량이 불러올 영향

• 안전유지를 위해 지속적인 업데이트가 필요한 환경의 변화

• 급속한 기술변화로 인해 빠르게 무효화(invalidate)되고 있는, 융통성없는 (표준에 대한) 접근법  

• 아직 표준이 개발중인 신기술에 대한 안정성 보장

[참고] ISO/PAS 21448 개정안 작업에서는 위와 같은 내용들을 일부 포함하기 위해 범위를 확장하고 있는 것으로 알려졌으며, UL4600 개발에서는 새로운 범위에 대한 중복을 피하기 위해 활용가능한 정보들을 참고하였다. 

 

UL과 UL4600 개발의 개요

[그림] 안전규격 연구개발 기업, UL

지난 4월 1일자로 미국의 안전표준 개발기업 UL이 새로운 자율주행차량의 안전성 평가 표준, "UL4600"을 발표했다.

 

UL(Underwriters Laboratory)은 미국 일리노이 주의 노스브룩을 기반으로 하고 있는 미국 최초의 안전규격 개발기업으로, 현재는 전자정보통신기기, 의료기기, 신재생에너지기기 등 다양한 제품군에 대한 안전·보안·지속가능성에 대한 UL인증을 부여하고 있다. 전기안전 기업으로 시작했지만 전자제품의 안전성 인증에 대해서는 지차제나 정부기관보다 더 영향력있는 인증기관으로 여겨지고 있어 UL의 안전기준은 유심히 살펴보아야 할 필요성이 있다.

 

UL(Underwriters Laboratories)

- 1903년 처음으로 안전기준을 발표, 현재까지 1,700여종의 안전기준을 개발함
- 개방성·투명성·적시성을 충족시키는 안전기준을 만들고자 하며, 지속적인 수정(maintenance)을 하고 있음
- 제조업체, 공급업체, 정부, 소비자단체 등 이해관계자들로 구성된 'STP(Standards Technical Panel)'의 컨센서스 과정을 통해 다양한 관점을 반영한 상호참여형(collaborative) 표준을 개발함

 

UL4600은 UL이 자율주행차량에 대해 개발하여 공개한 최초의 안전기준으로써 완전자율주행 자동차의 안전성 평가를 위한 원칙과 프로세스를 내용으로 하고 있다. 설계 프로세스·시험·비운전자(non-drivers)를 위한 HMI, 위험식별과 데이터 신뢰성(integrity) 등의 주제를 다루고 있다. 

[그림] 한 눈에 보는 UL4600 : 자율주행시스템의 작동과 수명주기에 대한 '시스템 레벨'에서의 안전성을 평가한다

 

2018년 7월에 본 안전기준에 대한 개발의사를 처음으로 밝혔으며, 2019년 6월 작성된 초안에 대한 첫번째 STP 회의를 진행하였다. 이후 3차례의 추가적인 수정을 거쳐 2019년 10월~11월에 산업 내 다양한 이해관계자들을 대상으로 초안에 대한 의견을 수렴하는 절차를 거쳤다. 이 과정에서 수천개의 의견서가 접수되었고 이를 검토·반영하여 2020년 4월 1일에 확정안을 발표한 것이다. 

 

UL4600 개발에는 카네기 멜론大 전자컴퓨터공학부 교수이자 Edge Case Research의 CTO인 Philip Coopman가 공동연구로 참여하였고 美 교통부, Uber ATG, AXA XL 등을 포함한 미주·유럽·아시아의 총 30개 기관이 STP(Strandards Technical Panel)로 참여했다.  

---

UL4600의 접근법 

본 안전기준은 특정 기술을 지정하여 사용토록 하지 않고 있다. 어떤 기술을 사용하든 안전성을 충족시킬 수 있는 목표(goals)만 제대로 구현할 수 있으면 된다는 취지이다. 특정 기술을 활용토록 지정하지 않는 것은 기술중립성과 개방성을 확보하기 위해 중요한 고려사항이기도 하다. 

 

더하여 UL4600은 완전자율주행을 기준으로 개발되었다는 것이 특징이다. 때문에 본 안전기준에서는 자율주행차량에 대한 인간의 통제나 관제에 대한 가이드라인을 제시하지 않고 있으며, 인간 운전자와 자율주행시스템 간의 주행권 전환(hand-off 의역) 또한 다루고 있지 않다.

 

대신 보행자와 같은 다양한 도로 사용자와의 상호작용(ex. 서로 다른 언어를 사용하는 보행자의 경우), 허용가능한 위험에 대한 개발사의 정의 등을 기술하고 있으며, 인간이 차량을 관제하는 능력, 윤리규범, 보안에 대한 세부사항 등은 포함되어 있지 않다. 

 

UL4600의 Safety Case와 Prompts 

완전자율주행 시스템은 (ADAS와 달리) 인간 운전자가 관여하지 않으므로 인간에게 책임성 또한 없기 때문에 본 안전기준에서는 시스템 레벨에서의 접근법을 채택했다.

 

[참고] 앞서 발표됐던 다른 안전기준들은 다음과 같은 접근법을 기반으로 하고 있다. 
(1) ISO26262 → 기능적 안전의 관점
(2) ISO/PAS 21448 → SOTIF*의 관점,, * Safety Of The Intended Functionaility
(3) BSI/PAS 1881 → 도로시험

 

많은 안전기준들이 도로주행 테스트를 통해 검인증을 시행하고 있는 한편, UL4600은 도로 테스트가 아닌 'Safety Case' 접근법을 기반으로 하고 있다. Safety Case란, 시스템의 안전성을 증명하기 위해 "증거를 기반으로 하는 구조적 논증(A structured argument backed by evidence)"으로 교통, 의료 분야에서 종종 사용되는 안전성 평가 접근법이다.

 

기술개발 영역에서 주로 사용되는 접근법은 아니지만,  현재의 범용적이고 일률적인(one-size-fits-full) 방식의 도로 테스트들로는 안전성을 증명하기 부족하다는 의견 하에 도로 테스트를 통한 평가가 아닌 시스템 수준에서의 Safety Case 접근법을 채택하기로 한 것이다.

 

Safety Case는 목표(goal)-논거(argument)-증거(evidence)의 세가지 요소로 구성되어 있다.

 

본 안전기준에서의 '목표(goal)'는 시스템 레벨에서의 안전목표나 부품 안전규격(element safety requirements) 같은 것을 의미하고, '논거(argument)'는 '목표'가 달성된 이유에 대한 설명이라고 할 수 있다. '증거(evidence)'는 '논거(argument)'가 타당함을 증명하는 분석·시뮬레이션·시험결과값이다.

 

예를 들어 좀 더 자세히 설명해보자면 본 안전기준에서의 Safety Case는 이런 식이다. 

→ 목표(goal) : 자율주행차량은 보행자를 치지 않는다, [*부품 안전규격] 하드웨어 결함이 발생해도 컴퓨팅 칩은 정확한 산출값을 낼 수 있다
→ 논거(argument) : "자율주행차량은 모든 유형의 보행자를 감지할 수 있다", "감지된 보행자와의 충돌을 회피하기 위해 차량이 정지할 것이다", "보행자를 감지할 수 없을때 생기는 위험상황들에 대해 밝혀내고 이를 완화(mitigate)한다"
→ 증거(evidence) : 탐지 및 회피 테스트 결과, 다양한 보행자 유형에 대한 커버리지 분석, 신뢰성 증가 데이터를 통한 높은 보행자 커버리지, [*부품 안전규격] 오류 수정 코드의 컴퓨팅 칩에 대한 수학적 분석 등

 

위와 같이 목표(goal)-논거(argument)-증거(evidence)를 설정하고, 시뮬레이션이나 현장 테스트를 통해 증명한다. 

 

이와 같은 Safety Case는 ① 자율주행 센서·알고리즘·구동장치(actuator), ② 차량 자체(자율주행과 관련된 범위의 안전성 평가) ③ 유지관리 및 점검 절차 ④ 수명주기와 관련된 문제와 공급사슬, ⑤ 데이터소스·지도·통신·머신러닝 트레이닝에 적용된다.

 

UL4600에서는 위와 같은 영역들(①~⑤)에 적용되는 Safety Case들에 대하여 각각의 Prompts 리스트를 제시한다. Prompts란 Safety Case에 포함되어야 할 토픽들을 의미하는데, 설계 시 Prompts를 적용할 수 없는 경우도 예외적으로 허용하고 있으며 문제시 ODD를 수정할 수도 있다.

(아래 '더보기'를 클릭하면 Prompts의 예시를 확인할 수 있다)

[참고] UL4600의 ODD 프롬프트 항목 및 사례

· Travel infrastructure : types of road surfaces, road geometries, bridge restrictions

· Object coverage (i.e., objects within ODD)

· Event coverage : interactions with infrastructure

· Behavioral rules : traffic laws, system path conflict resolution priority, local customs, justifiable rule breaking for safety

· Environmental effects : weather, illumination

· Vulnerable populations : pedestrians, motorcycles, bikes, scooters, other at-risk road users, other road users

· Seasonal effects : foliage changes, sun angle changes, seasonally-linked events (e.g., Oktoberfest)

· Support infrastructure, if any is relied upon : types of traffic signs, travel path geometry restrictions, other markings

· Localization support, if relied upon : GNSS availability, types of navigation markers, DSRC, other navaids

· Compliance strategy for traffic rules : enumeration of applicable traffic regulations and ego vehicle behavioral constraints

· Special road user rules : bicycles, motorcycles/lane splitting, construction systems, oversize systems, snowplows, sand/salt trucks, emergency response systems, street sweepers, horse-drawn systems

· Road obstructions : pedestrian zone barriers, crowd control barriers, police vehicles intentionally blocking traffic, post-collision vehicles and associate debris, other road debris, other artificial obstructions

---

UL4600의 구성 내용과 측정법 

UL4600은 앞서 간단하게 소개한 바와 같이 완전자율주행 자동차의 안전성 평가를 위한 원칙과 프로세스를 명시하고 있다. 여기에는 아직 체계화되지 않은 환경에서의 센싱 하드웨어나 소프트웨어의 신뢰성이나 핵심적인 기능에 대한 머신러닝 위험분석 및 인증에 대한 조항도 포함되어 있다. 

 

아래는 본 안전기준의 구성이며, 각 세부 내용은 공식 홈페이지 웹 뷰어를 통해 무료로 열람할 수 있다. 

 

∙ 고장 감지 및 완화, 사고대응 및 사이버 보안을 포함한 의존성(dependability)
∙ 통신 및 저장소를 포함한 데이터와 네트워킹
∙ 접근법, 방법론, Safety Case 업데이트를 포함한 검인증(verification, validation) 및 시험
∙ 툴 자격요건, 상용 기성품(COTS) 시스템, legacy components
∙ 설계부터 생산, 공급사슬, 폐기에 걸친 핸드오프(handoff)와 같은 생애주기 관련 문제
∙ 유지관리 및 검역(inspection)
∙ 측정 및 안전성능지표(SPI, Safety performance indicators)
∙ 적합성 평가, 독립적 평가 및 prompt element 피드백 평가

 

앞서 설명한 바와 같이 UL4600은 특정 도로시험으로 안정성을 평가하지 않는다. 공학적 정밀도에 대한 지표(metrics)와 각 시스템에 대한 개별평가(independent assessment)를 통해 Safety Case를 체크한다.

 

이 과정은 개발사가 자체평가(self-audit)을 통해 Safety Case를 규정하고(define) 개별평가자가 이것을 체크하는 순으로 진행된다. 이에 따라 개발사는 테스트 계획과 결과를 정하고(define), 교통준칙의 커버리지과 ODD 정의 등을 필수요건으로 포함하는 시뮬레이션·분석·HIL 테스트·도로시험 등을 구체적인 증거로 제시하여 시스템 안정성을 구체적으로 증명할 수 있어야 한다.

 

개발사는 이 과정에서 안전지표들에 대한 평가자의 피드백을 지속적으로 모니터링하여, 예측대로 작동하지 않으면 수정해오도록 하고 있다. 이러한 방식은 기존의 신차 출시 방식과는 차이가 있는 부분이다. 

 

UL4600의 적용범위와 표준의 호환성

본 안전기준은 자율주행 승용차(passenger car)와 농업, 유지보수, 광업 등의 특수목적으로 활용되는 완전자율주행 이동체(mobile)에 적용된다. 뿐만 아니라 경량 무인 비행체(UAV, unmanned aerial vehicles)나 드론에도 적용될 수 있으며 인간의 개입없이 목적에 따라 작동할 수 있는 기기에 대한 성능 평가를 주로 다루고 있다. 

 

UL은 본 안전기준을 발표하면서  "이 표준을 준수한다고 해서 안전한 자율주행차량임을 보장하는 것은 아니다. 그러나 이 표준을 준수함으로써 안전한 자율주행차량을 뒷받침(support)하는, 보다 정연한 공학기술을 촉진한다. 또한 ‘Safety Case’는 자율주행차량에 대해 완성된 안전-인증 프레임워크 중 주요한 부분 중 하나일 뿐이며, 이 안전기준은 표준기관이나 규제기관에서 정의한 다른 표준이나 시험 방법론과 연계하여 활용될 것으로 예상된다”고 전했다.

 

“(반드시 지켜야하는 것은 아니지만)UL4600을 준수하면 ISO 26262, ISO/PAS 21447, IEC 61508, MIL STD 882 등과 같은 기타 안전기준 및 유사하게 적합성이 입증되는 보안 표준으로 인정된다”고 덧붙였다. 특히  ISO26262와 ISO/PAS21448의 결과를 연계하여 활용할 수 있고, 향후 도로시험 표준이 Safety Case의 증거(evidence)로 활용될 수 있을 것으로 예상된다.

 

UL은 추후 이 안전기준의 현재 버전에 “highly recommended”와 안전 권장 조치에 대한 조항을 포함시킬 예정이다. 

 

---

참고자료

(1) Philip Koopman 교수 웨비나(2019.10) - 유튜브 영상 정책결정자 대상 (2) Philip Koopman 교수 웨비나(2019.10) - 유튜브 영상 기술자 대상 (3) Philip Koopman 교수 미디엄 기고글(2019.07) - An Overview of Draft UL 4600 : "Standards for Safety fot the Evaluation of Autonmous Products" (4) UL4600 공개에 대한 보도자료 영문 | 한글 (5) UL4600 미리보기 (디지털 뷰 무료) - 공식 웹사이트

 

Researcher Jasmine