Nikkei Automotive_2020.9 특집 (p62-67)

레벨 4에서 바뀌는 자율주행 안전규격
미국의 유력 규격책정단체 2강이 선수

자율주행 레벨3에 관한 국내법 정비에서 세계에 앞서 있는 일본. 21년 1월에는 그 근간이 된 자율주행 레벨3에 관한 첫 국제기준이 발효되는 것도 결정됐다. 그러나 자율주행 레벨4에서는 미국이 공세를 강화하고 있다. 20년 4월에는 완전 자율주행용 세계 첫 안전 규격을 발행, 유력한 규격책정단체 두 곳이 손을 잡고 그 영향력을 확대하고 있다.

20년 6월 2일, 지금까지는 규격책정에서 서로 양보하는 일이 없었던 미국의 자동차공학회(SAE)와 보험협회시험소(UL)가 손을 잡았다. 양자는 자율주행 관련 규격 책정에 협조하는 데 합의했다. 자동차 등 자력(自力)으로 추진하는 탈 것 관련 규격을 책정하는 SAE와 안전규격에 강한 UL이 협력함으로써 미국에서 자율주행 관련 규격 책정이 가속될 것으로 보인다.

이번 제휴로 인해 SAE는 우선, 완전 자율주행을 위한 세계 첫 안전규격 ‘ANSI/UL 4600’을 참조하는 규격을 개발할 방침이다. 또한 SAE와 UL은 새로운 파트너를 모색하고 있다.

이번 협조의 배경으로 미국 교통부(USDOT)가 20년 1월에 발표한, 미 연방정부의 38개 관계부처∙독립기관∙위원회 및 대통령부가 추진한 자율주행 관련 대책을 통합하기 위한 가이던스 ‘Automated Vehicles 4.0(AV 4.0)’를 생각할 수 있다. 대통령부와 USDOT의 의향을 고려한 것으로, 자율주행에서 미국이 리더십을 확보하기 위한 어프로치를 확실하게 실시하기 위한 10개의 원칙을 상술하고 있다.

SAE와 UI의 제휴는 이러한 미국 정부의 적극적인 자세와도 합치하는 것으로, ANSI/UL 4600의 중요성은 앞으로 더욱 커질 가능성이 높다. 여기서는 자동차 관련 다른 안전규격과의 차이를 포함해 ANSI/UL 4600의 본질을 소개한다.

-- 국가 규격화에서 미국이 앞선다 --
미국규격협회(ANSI)와 UL이 ANSI/UL 4600을 발행한 것은 20년 4월 1일이다. 이 날은 묘하게도 일본이 자율주행 레벨3를 해금한 날이다. 자율주행 레벨3에서는 일본이 앞서고 있었지만 레벨4에서는 미국이 앞서는 모양새가 됐다.

대표적인 곳은 미국 Uber Technologies의 자회사인 Uber Advanced Technologies Group(도요타자동차, 덴소, 소프트뱅크비전펀드도 출자), 독일 다임러의 자회사인 미국 Daimler Trucks North America, 닛산자동차의 자회사인 미국 Nissan North America, 미국 Ford Motor 산하에서 자율주행 기술을 개발하는 미국 Argo AI(독일 폭스바겐도 출자), 중국 전기자동차 업체 NIO, 독일 보쉬 등이다. 이들 쟁쟁한 기업과 더불어 미국 Intel이나 독일 Infineon Technologies와 같은 세계를 대표하는 반도체업체도 참가하고 있어, ANSI/UL 4600은 강한 영향력을 발휘할 가능성을 안고 있다.

UL규격은 UL이 책정하는 제품안전에 관한 규격이다. UL규격의 인증 취득은 임의지만 미국에서는 주(州)의 프로젝트에 따라서는 UL 인증을 의무화하고 있거나, 규격에 따라서는 미국의 국가규격 중 하나인 ANSI규격에 채용되어 ANSI/UL규격이 된 경우도 한다. UL 4600은 ANSI 규격에 채용되어 미국 국가규격이 된 UL규격의 하나다.

앞으로 ANSI/UL 4600이 미국의 연방 또는 주정부의 법규제에서 인용된다면, 이 규격의 인증은 강제력을 갖게 된다. 게다가 ANSI규격에도 채용된 ANSI/UL 4600은 장기적으로는 ISO(국제표준화기구)의 ISO규격에 채용될 가능성도 있다. ANSI는 ISO나 전기∙전자분야의 국제표준규격을 제정하고 있는 IEC(국제전기표준회의) 등에 미국을 대표하는 멤버를 파견하고 있는 기관이다. ANSI가 세계에 앞서 채용한 규격은 ISO 규격에 채용되는 일도 많다. ISO규격은 국제기준에서 참조되는 경우가 종종 있어, 그렇게 된다면 많은 국가에서 강제력을 갖게 된다.

완전 자율주행의 오픈소스형 개발 컨소시엄 ‘아폴로 계획’을 주도하는 중국 바이두도 국제적인 규격의 인증 취득에는 적극적이다. 이미 자동차산업용 품질 매니지먼트시스템에 관한 국제규격 ‘IATF 16949：2016’, 자동차분야용 국제적 기능안전규격 ‘ISO 26262’, 차량탑재 소프트웨어개발용 프로세스 모델 ‘Automotive SPICE(A-SPICE)’(ISO/IEC 15504를 바탕으로 책정) 등의 인증을 취득했다고 한다. ANSI/UL 4600이 ISO화된다면 바이두도 인증 취득을 위해 움직일 가능성은 충분히 있다. 완전 자율주행 차의 실용화를 추진하는 미국 테슬라도 미국 기업으로서 미국의 국가규격이 된 ANSI/UL 4600을 존중할 것이다.

그러나 가령 미국의 연방 또는 주정부의 법규제에서 ANSI/UL 4600이 인용되지 않거나, ISO규격에 채용되지 않는다고 해도 완전 자율주행 차의 안전규격이 세계에서 가장 먼저 미국에서 발행된 것은 의미가 크다. 이 규격의 발행으로 인해, 완전 자율주행 차 개발업체는 안전성의 증명을 모두 독자적으로 시행하지 않고, 이 규격을 따르는 형태를 선택할 수 있기 때문이다. 완전 자율주행 차의 실용화에서는 20년 4월 시점에서 미국이 한발 앞선 모습이었다.

그러한 가운데 미국이 다음 수단으로 제시한 것이 이번의 SAE와 UL이라는 유력한 규격책정단체의 협조다. 양자가 손을 잡음으로써 ANSI/UL 4600의 영향력이 더욱 강해질 것은 자명하다.

-- 기존의 규격은 ‘운전자에게 책임’이 전제 --
자동차의 안전성에 관한 규격은 ANSI/UL 4600이 등장하기 이전부터 다수 존재했다. 대표적인 것이 앞에서 말한 ISO 26262와, 레벨3 이하의 자율주행을 대상으로 하는 국제적인 안전 규격 ‘ISO／PAS 21448’(Safety Of The Intended Functionality, SOTIF)이다. 그러나 이들 기존 규격은 레벨4 이상의 자율주행을 상정한 것이 아니었다. ANSI/UL 4600이 탄생한 이유는 거기에 있다.

기계나 장치와 같은 시스템을 설계하는데 있어서 인간이나 환경에 위해를 주는 원인 그 자체를 저감∙제거하는 어프로치를 본질안전이라고 부른다. 이에 대해 안전을 확보하기 위한 기능을 도입∙추가함으로써 위해를 허용 레벨까지 낮추는 어프로치가 기능안전이다. ISO 26262는 자동차분야용 기능안전 규격이지만 전기전자시스템의 기능부전(고장)이 원인이 되는 위해를 저감∙제거하는 것으로 대상을 좁히고 있다.

게다가 UL Japan에서 Automotive Business Development Director를 맡고 있는 후지마(藤間) 씨에 따르면 “ISO 26262는 어디까지나 시스템이 고장 났을 경우의 위해의 저감∙제거를 대상으로 한 것이다”. “시스템에 운전을 맡기는 레벨4 이상의 자율주행은 고장 나지 않은 경우라도 사람에게 피해를 줄 우려가 있다. 시스템이 고장 나지 않았을 경우의 안전성도 보증할 필요가 있다”라고 말한다.

한편 SOTIF는 시스템이 고장 나지 않았을 경우의 안전성도 적용 대상에 포함하고 있다. 그러나 그 근저에 있는 것은, 시스템의 성능한계나 기능부족을 명확하게 하여 기술적인 측면에서 기능을 개선∙증강함으로써 위험을 저감∙제거한다는 생각이다. 기능의 개선∙증강에는 한계가 있기 때문에 안전을 확보하지 못할 경우는 적용 케이스를 한정하게 된다. SOTIF에서는 그러한 일련의 방법론과 프로세스 및 안전성의 검증 프로세스를 규정하고 있다.

SOTIF에서 골칫거리는 적용 케이스가 엄격해지면 기술적인 요건도 높아진다는 것이다. 위험 정도가 높아질수록 기술을 고도화해 나가지 않으면 안 된다. 검증 프로세스도 보다 엄격하게 된다. 게다가 SOTIF는 운전에 대한 책임은 인간인 운전자에게 있다는 것을 전제로 하고 있어, 레벨3 이하의 자율주행이 대상이 된다.

-- ODD를 정의하고, 3개의 스텝을 돌린다 --
이에 대해 ANSI/UL 4600은 운전 조작을 인간에게 맡기지 않는 자율주행, 즉 레벨4 이상의 자율주행을 전제로 한다. SOTIF와 달리 기술적인 요건이나 검증 프로세스도 문제 삼지 않는다. 이러한 입장을 취하는 것은 레벨4 이상의 자율주행은 기술이 아직 확립되지 않았기 때문이다. 기술의 진화가 빠르고, 어느 기술을 사용하면 레벨4 이상의 자율주행을 실현할 수 있는지는 아직 확실하지 않다. 기술이나 검증 프로세스를 한정하지 않고 안전성을 허용 레벨까지 높이는 것에 중점을 둔다.

그를 위해 채용하고 있는 것이 ‘Safety Case’라고 부르는 목표중심(Goal-based) 어프로치다. 다시 말하면 목표로서 지향하는 자율주행에는 어떠한 성능이 요구되며(스텝1: 요구, Claim), 그러한 요구가 충족됐다고 보이기 위해서는 어떤 요건이 필요한지(스텝2: 논증, Argument)를 검토해, 그들 요건을 충족하고 있는 증거를 나타내는(스텝3: 증거, Evidence) 어프로치다. Safety Case는 일본에서는 그다지 익숙하지 않지만 유럽과 미국에서는 점점 보급되고 있는 안전성 확보 방법이라고 한다.

ANSI/UL 4600에서는 구체적으로는 우선 운행설계영역(ODD)을 정의한다. 그런 후에 Safety Case의 3개 스텝을 돌린다. 그리고 Safety Case에서 안전을 증명하지 못하는 경우는 ODD를 좁혀서 다시 Safety Case의 스텝을 돌린다. 물론 ODD를 좁히지 않고 SOTIF를 병용해 기능개선∙증강을 실시할 수 있다면 그것을 거부하는 것은 아니다. 그러한 일련의 프로세스를 반복하며, 정의한 ODD에서 허용할 수 있는 레벨까지 자율주행 차의 위험을 줄이는 것이 ANSI/UL 4600이다. ISO 26262나 ISO/PAS 21448과 같은 다른 규격의 결과를 이용하는 것도 가능하다.

ANSI/UL 4600이 제공하는 것은, 그러한 프로세스를 돌리기 위한 방법론과 절차, 그리고 안전한 상태란 구체적으로 어떠한 것인지를 알려주는 일련의 요건과 안전에 관한 교훈이다. 예를 들면, 뛰어난 프랙티스(행위나 활동)와 함정(학습해 온 교훈과 피해야 할 나쁜 프랙티스)을 ‘프롬프트(촉구하는 것)’로서 제공, 각 스텝의 검토 작업의 실마리로 할 수 있다.

그리고 프롬프트는 계속적으로 경신된다. 자율주행 관련 기업, 반도체업체, 규격책정단체, 대학 등이 프롬프트로서 실제 사례를 제공한다. 그러한 최신 사례도 참고해 위험을 허용할 수 있는 데까지 줄여 나가게 된다.

후지마 씨에 따르면 기계학습을 베이스로 한 안전대책을 염두에 두고 있는 것도 ANSI/UL 4600의 특징이다. 시스템은 주행을 시작하면 자기학습을 하며 현명해져 간다. 그 학습내용에는 드물게 일어나는 사태도 포함된다. 그러한 사태들도 프롬프트로서 수집함으로써, 빈도는 적어도 일어날 수 있는 사태에도 대처해 안전성을 만들어 나가는 것이 ANSI/UL 4600의 사고방식이라고 한다.

 -- 끝 --

Copyright © 2020 [Nikkei Automotive] / Nikkei Business Publications, Inc. All rights reserved.