NHTSA - Functional Safety Assessment of an Automated Lane Centering System 정리

1. Introduction

2018년 8월 미국 도로교통안전국(NHTSA)은 “자동 차선 중앙 유지 시스템의 기능 안전성 평가”라는 보고서를 발간했습니다. 이 보고서는 차량의 차선 중앙 유지(Automated Lane Centering, ALC) 기능을 대상으로 ISO 26262 자동차 기능 안전 표준의 개념 단계(Concept Phase)를 적용한 안전 분석을 수행한 내용입니다. 차선 중앙 유지 기능은 운전자가 조향을 하지 않아도 차량이 차로 중앙을 따라 주행하도록 해주는 첨단 운전자 보조(ADAS) 기술입니다. 보고서는 ALC 시스템의 잠재적 위험 요소(hazard)를 체계적으로 식별하고, 이에 대응하는 안전 목표(safety goal)와 안전 요구사항을 도출하였으며, 실제 도로 상황과 결함 시나리오를 고려한 시험 시나리오도 제안하고 있습니다. 이번 포스트에서는 해당 보고서의 내용을 토대로 ALC 시스템의 기능 안전 평가 방법론, 식별된 위험과 안전 목표, 차량 아키텍처와 기능 분해, 시험 결과 및 시사점을 정리하겠습니다.

 

2. 기능 안전 평가 방법론 (Methodology)

이 연구는 ISO 26262 표준의 개념 단계 프로세스를 충실히 따랐습니다. 개념 단계에서는 시스템 또는 기능(“아이템”)의 경계를 정의하고, 위험 분석 및 위험 평가(Hazard Analysis and Risk Assessment, HARA)를 통해 잠재 위험을 찾아내며, 각 위험의 심각도와 발생가능성, 운전자 제어 가능성을 평가하여 ASIL 등급을 결정합니다. 그리고 나서 차량 수준의 안전 목표(Safety Goal)를 수립하고, 시스템을 구성하는 요소들에 대한 상세 안전 분석을 거쳐 기능 안전 요구사항(Functional Safety Requirements)을 도출하게 됩니다.

Safety Analysis and Requirements Development Process

 

NHTSA 보고서에서는 이러한 ISO 26262 과정에 여러 분석 기법을 접목했습니다. 먼저 위험 식별 단계에서 전통적 기법인 HAZOP(Hazard and Operability Study)과 최신 기법인 STPA(Systems-Theoretic Process Analysis)를 병행 적용하여 ALC 시스템의 잠재 위험을 찾아냈습니다. HAZOP은 시스템의 기능들이 의도에서 벗어나 “Loss of function(기능 상실)”, “More than intended(과도 동작)”, “Less than intended(불충분 동작)” 등 7가지 가이드워드로 변질될 때 어떤 영향이 생기는지 살피는 기법입니다. 예를 들어 “조향 명령이 부족하면 어떻게 되는가?”, “의도보다 강한 조향이 발생하면?” 등을 질문하여 문제 상황을 발굴하는 식입니다. 한편 STPA는 시스템을 제어 관점에서 모델링해 안전하지 않은 제어행위(Unsafe Control Action)와 그 원인 요인(Causal Factor)을 찾아내는 상향식 시스템 안전 분석 기법입니다. 보고서는 HAZOP과 STPA를 통해 발견된 위험 목록을 합성하여 전체 차량 위험 다섯 가지를 선정했고, 여기에 ISO 26262 표준의 ASIL 결정 기준을 적용하여 각 위험의 ASIL 등급을 평가했습니다.

 

위험이 정의되고 등급이 정해지면, 그 다음으로 보고서는 기능 안전 개념(Functional Safety Concept)을 수립하기 위한 상세 안전 분석에 들어갔습니다. 여기에는 Functional FMEA(Failure Modes and Effects Analysis)와 STPA 2단계(원인 인자 식별)가 활용되었습니다. Functional FMEA는 시스템의 주요 기능 별로 가능한 실패 모드와 상위 시스템에 미치는 영향을 바닥부터(bottom-up) 검토하는 방법입니다. 이 연구에서는 ALC 시스템의 구성요소들과 외부 인터페이스 요소들을 대상으로 총 53개의 실패 모드와 211개의 잠재적 고장 원인을 FMEA로 식별했습니다. 한편 STPA 2단계를 통해서는 시스템이 어떤 순서로 고장이 발생할 때 통제 불능 상태로 가는지 상향식으로 분석하여 추가 안전 요구사항을 도출했습니다.

 

마지막으로, 이러한 안전 분석 결과를 토대로 기능 안전 개념을 정리했습니다. 여기에는 고장 탐지 및 완화 전략, 안전 상태 정의(예: 시스템이 스스로 해제되어 안전한 상태로 이동), 운전자 경고 및 성능 저하 모드(degradation strategy), 그리고 시스템 요소에 안전 요구사항 할당 등이 포함됩니다. 이렇게 정리된 개념에 따라 최종적으로 기능 안전 요구사항들이 도출되었습니다. 요약하면, “아이템 정의 → 위험 식별 (HAZOP+STPA) → 위험 평가 (ASIL) → 안전 목표 수립 → 상세 안전 분석 (FMEA+STPA) → 안전 개념 → 안전 요구사항”의 흐름으로 진행된 것입니다. 이 과정은 ISO 26262에서 권장하는 바를 충실히 따른 것으로, 제조사들이 실제 개발에 활용할 수 있는 실례가 됩니다.

 

3. 식별된 위험 요인과 안전 목표 (Hazards and Safety Goals)

List of Potential Vehicle-Level Hazards

 

위의 방법론을 통해 차량 수준에서 5개의 주요 위험 요인(Hazard)이 도출되었습니다. 각각의 위험에 대해 차량이 반드시 충족해야 할 안전 목표(Safety Goal)가 설정되었으며, ISO 26262에 따라 적절한 ASIL 등급이 부여되었습니다. 아래는 이 보고서에서 규정한 ALC 시스템의 대표적인 안전 목표들입니다:

• SG1: 불충분한 조향 제어로 차선/도로를 이탈하지 않도록 할 것. (ALC 활성화 중 조향 각도가 부족하거나 반응하지 않는 상황 방지)
• SG2: 과도한 조향 제어로 차선/도로를 이탈하지 않도록 할 것. (ALC 오작동으로 지나치게 급격한 조향이 발생하는 상황 방지)
• SG3: ALC 시스템의 갑작스러운 기능 상실을 예방할 것. (주행 중 예고 없이 시스템이 꺼지지 않도록, 또는 꺼질 경우 안전하게 대비)
• SG4: 운전자와 ALC 시스템 간에 제어 전환이 올바르게 이루어지도록 할 것. (시스템이 켜지거나 꺼질 때, 혹은 운전자가 조향을 다시 잡을 때 혼란이나 충돌이 없도록)
• SG5: ALC의 횡방향 제어가 차량의 다른 시스템들과 충돌하지 않도록 할 것. (예를 들어 다른 자동화 기능이나 차량 안전 기능의 개입을 ALC가 방해하지 않도록 보장)

Safety Goals for the ALC System

 

각 안전 목표에는 해당 위험 상황의 최악 조건을 기준으로 ASIL B에서 ASIL D까지 등급이 할당되었습니다. 예를 들어, “운전자가 개입하고 있는 Level 2 자동화 상태”에서는 일부 위험이 ASIL B로 평가되었지만, “운전자가 개입하지 않는 Level 2 또는 Level 3 이상의 상태”에서는 동일 위험이 ASIL D(가장 높은 위험 등급)으로 상향되었습니다. 이는 운전자의 즉각적인 개입 가능 여부가 차량 안전에 큰 영향을 미친다는 점을 반영합니다. 쉽게 말해, 운전자가 백업으로 존재하는 상황과 차량 스스로 모든 것을 책임져야 하는 자율주행 상황은 위험의 무게가 다르기 때문에, 요구되는 안전 대책의 수준도 달라진다는 것입니다.

 

보고서는 최종적으로 5개의 차량 수준 안전 목표와, 총 47개의 기능 안전 요구사항을 도출했고 추가로 26개의 세부 안전 요구사항을 식별했다고 밝히고 있습니다. 이러한 요구사항들은 ALC 시스템이 위의 안전 목표들을 만족하도록 하기 위한 세부 설계 및 제어상의 조건들입니다. 예를 들어, “시스템이 센서 고장을 감지하면 즉시 운전자에게 경고하고 일정 시간 후 안전하게 해제된다”와 같은 내용이 포함됩니다.

 

4. ALC 시스템 아키텍처와 기능 분해 (System Architecture and Functional Decomposition)

Block Diagram of a Generic ALC system

이 연구에서는 분석 대상인 “일반화된 ALC 시스템”의 경계와 구조를 명확히 정의했습니다. 위의 그림에 제시된 ALC 시스템의 블록 다이어그램을 보면, ALC는 크게 다음과 같은 요소들로 구성되어 있습니다:

• 운전자 인터페이스 및 제어 (Driver Interface & Controls): 운전자가 ALC를 활성/비활성하는 일차 조작계(예: ALC ON/OFF 스위치)와 이차 조작계(예: 방향지시등, 브레이크 페달 등 ALC를 일시 해제시키는 입력)로 구성됩니다. 또한 운전자에게 상태를 알리는 계기판 표시장치와, 운전자가 조향을 잡고 있는지 모니터링하는 운전자 인지 센서(스티어링 토크 센서 또는 카메라 등)도 포함됩니다. 운전자는 직접 차량의 횡방향 제어를 수행하지는 않지만, 시스템에 개입 신호(예: 스티어링 휠 잡기 등)를 주거나 시스템으로부터 경고를 받는 식으로 인터페이스하게 됩니다.
  
  
• 차선 검출 센서 및 연결된 데이터 (Lane Detection Sensors & Data): ALC는 주변 도로 환경 정보를 카메라, 라이다, 레이
  더, GPS, 지도 등 다양한 센서로부터 입력받습니다. 이 모듈은 차선 및 도로형상 인식(왼쪽/오른쪽 차선 경계 감지, 도로 곡률, 차선 폭 등)과 전방 장애물/차량 인지, 도로 표지판 인식 등의 기능을 수행합니다. 여러 종류의 센서 데이터를 융합해 차량의 차로 내 위치를 파악하며, 개별 센서의 고장 탐지 기능도 포함됩니다 (예: 카메라 신호 상실 감지).
  
  
• 차량 동역학 센서 (Vehicle Dynamics Sensors): ALC 제어에 필요한 차량 자체의 움직임 데이터를 얻기 위한 자이로/가속도 센서들입니다. 요(rate), 횡가속도, 롤(rate) 센서 등을 통해 차량의 현재 거동(회전, 기울어짐 등)을 측정하여 ALC 제어 알고리즘에 제공합니다.
  
  
• 자동 차선 중앙 제어 모듈 (Automated Lane Centering Control Module): ALC의 두뇌에 해당합니다. 센서들로부터 현재 차량 위치와 차선 정보를 받아 필요한 조향각이나 조향 토크를 계산하고, 이를 실행하기 위해 차량의 조향 장치나 브레이크/구동 장치에 명령을 보냅니다. 예컨대 차가 차로 중심에서 벗어나 오른쪽으로 치우쳐 있으면, 왼쪽으로 조향하는 명령을 산출합니다. 이 모듈은 또한 다른 차량 시스템들과의 통신을 통해 통합 제어를 수행합니다 (예: 안정성 제어장치에 요청을 보내거나, 자동 차선변경 시스템과 협조 등).
  
  
• 기초 차량 제어 시스템들 (Foundational Vehicle Systems): ALC의 명령을 실제 차량 움직임으로 만들어내는 하위 시스템들입니다. 전자식 조향 시스템, 브레이크/안전제어(ESC) 시스템, 파워트레인(구동력) 제어나 액티브 디퍼렌셜 등이 해당됩니다. ALC 제어 모듈의 지시에 따라 조향을 수행하고 필요시 한쪽 바퀴에 제동을 거는 등으로 차량을 경로에 맞춰 조정합니다. 이 부분은 기존 차량의 기능 안전에 중요한 구성요소이며, ALC와 상호작용할 때 안전하게 통합되어야 합니다.
  
  
• 기타 자동화 기능 (Other Vehicle Automation Systems): ALC 외에 차량에 탑재될 수 있는 차선 변경 보조, 어댑티브 크루즈 컨트롤(ACC), 긴급 제동 등 다른 ADAS/자율주행 기능들입니다. 이들은 ALC와 동시에 동작할 수 있으므로, 서로 간에 충돌하지 않도록 ALC 시스템이 양보하거나 협조 로직을 가져야 합니다. 예를 들어 자동 차선변경 시스템이 동작할 때 ALC는 일시적으로 제어를 넘겨주어야겠지요.

이와 같이 시스템 아키텍처를 명확히 정의한 뒤, 보고서는 각 구성요소를 통해 구현되는 세부 기능 24가지를 식별했습니다. 여기에는 운전자 인터페이스 관련 기능 (예: “운전자 명령으로 ALC 활성화/비활성화”, “운전자 상태 모니터링 및 미참여 시 해제” 등), 센서 관련 기능 (예: “좌/우 차선 인식”, “선행 차량 인식” 등), 제어 알고리즘 관련 기능 (예: “차량의 차로 내 위치 계산”, “목표 조향각 계산”, “다른 시스템과 제어 협조” 등), 그리고 결함 감지 기능 (예: “고장 진단 수행”, “고장 시 완화 동작 수행”) 등이 모두 포함됩니다. 분석팀은 이러한 기능 목록을 토대로 앞서 소개한 HAZOP 가이드워드를 적용하여 각 기능이 의도와 다르게 동작할 경우 발생할 수 있는 모든 이상 상황을 검토했습니다. 그 결과 ALC 시스템에서는 153가지의 기능 이상(malfunction) 시나리오가 나올 수 있음이 확인되었고, 이 중 113가지가 실제 차량 수준 위험(Hazard)으로 이어질 수 있다고 평가되었습니다. 이처럼 세세한 기능 분해와 시나리오 도출을 거쳤기에, 놓치기 쉬운 안전 문제까지도 찾아낼 수 있었습니다.

5. 시험 시나리오 및 분석 결과 (Test Scenarios and Findings)

보고서는 도출된 안전 요구사항들을 검증하기 위해 잠재적 시험 시나리오도 몇 가지 예시로 제시하고 있습니다. 각 안전 목표(SG1~SG5)에 대해 대표적인 주행 상황을 설정하고, 여기에 해당 안전 목표를 위협할 수 있는 고장 상황을 인위적으로 주입하여 시스템의 거동을 살펴보는 방식입니다. 총 7가지 예시 시나리오가 설명되는데, 이는 실제 테스트의 일부 사례일 뿐이며 향후 훨씬 더 다양한 시나리오에 대해 검증이 필요함을 언급하고 있습니다.

예를 들어 SG1 (불충분한 조향으로 인한 이탈 방지)를 테스트하기 위한 시나리오 중 하나를 보겠습니다. “운전자가 개입한(Level 2) 상태에서 시속 40~100 km의 중간 속도로 2차로 도로를 주행하고 있는데, 차량이 차로 중앙에서 살짝 치우친 각도로 한쪽 차선 가장자리 쪽으로 향하고 있다”는 상황을 가정합니다. 이때 ALC 시스템에 일부 센서 오작동이나 제어 모듈 계산 오류와 같은 고장(fault)을 주입하여, 차량이 그대로 현재 각도를 유지한다면 차선을 이탈하게 되는지를 관찰합니다. 정상적으로는 ALC가 즉시 인지하여 조향각을 보정하거나, 최소한 운전자에게 경고를 주어야 할 것입니다. 만약 이러한 조치 없이 차량이 차선을 밟고 나간다면 SG1을 충족하지 못한 것이므로, 해당 결함 상황에 대한 안전 대책(예: 이중 센서 설계 또는 더 강력한 고장 감지 로직)이 필요하다는 결론을 내릴 수 있습니다.

유사하게, SG2 (과도 조향으로 인한 이탈 방지) 시나리오로는 급커브 길에서 센서가 잘못된 차선 인식을 하는 바람에 과도한 조향 명령이 발생하는 경우를 들 수 있습니다. 이 경우 차량이 갑자기 차선을 넘을 정도로 꺾여버리지 않도록, 제어 명령에 상한선(limit)을 두거나 안전 장치가 개입하는지 테스트합니다. SG3 (시스템 갑작스런 정지 방지)는 주행 중 ALC가 꺼졌을 때 운전자가 재빠르게 인지하고 대처할 수 있는지, 혹은 시스템이 꺼지더라도 차량이 즉시 위험해지지 않도록 이전 상태를 잠시 유지하는 등의 설계가 필요한데, 이런 상황을 만들어 보는 것입니다. SG4 (제어 권한 전환)의 경우는 운전자가 조향을 다시 잡으려 할 때 시스템이 이를 어떻게 감지하고 원활히 제어권을 넘기는지, 또는 운전자가 주의를 기울이지 않을 때 시스템이 어떻게 안전하게 종료되는지 등을 시험합니다. 마지막으로 SG5 (다른 시스템과의 충돌 방지)는 ACC나 긴급 제동 보조가 작동중일 때 ALC가 이를 어떻게 인지하고 대응

하는지, 예컨대 ACC에 의해 감속 중이면 ALC도 그에 맞춰 경로를 조절하는지 등을 확인하는 시나리오가 포함될 수 있습니다.

 

한편, 본 보고서에서는 실도로 사고 데이터도 참고하려 했으나, 2018년 당시에는 ALC 시스템의 보급이 매우 제한적이어서 통계적인 사고 원인 데이터를 확보하기 어려웠습니다. 대신에 기능적으로 유사한 차선 이탈 방지(Lane Keep Assist, LKA) 시스템 관련 리콜 자료와 운전자 불만(VOQ) 데이터를 검토하여 ALC에 참고할 만한 이슈를 식별했습니다. 이 검토 결과는 보고서 부록 A에 정리되어 있으며, 일부 센서 신뢰성 문제나 시스템 오작동안에 대한 운전자 불만 사례 등이 발견되어 ALC 위험 식별에 활용되었습니다. 이를 통해 현실 세계에서 발생 가능한 문제까지 폭넓게 고려하려는 노력이 엿보입니다.

 

또한 진단 기능 측면에서, 연구진은 SAE J2012 표준에 정의된 162개의 범용 DTC(진단 문제 코드) 중 ALC에 관련되는 것들을 식별하고 현재 시스템 설계로는 커버되지 않을 수 있는 추가 진단 필요 영역도 제안했습니다. 예를 들어 “차선 카메라 시야 불량” 같은 고장은 기존 DTC로 표시되지 않을 수 있으므로, 이런 경우를 탐지하는 새로운 코드가 필요할 수 있다는 식입니다. 이러한 부분은 Section 10에서 다루며, ALC 시스템의 자가 진단과 고장 대응 로직 강화에 대한 중요성을 강조하고 있습니다.

 

6. ADAS 엔지니어를 위한 시사점

이 보고서는 첨단 운전자 지원/자율주행 시스템의 기능 안전에 대해 여러 중요한 시사점을 제공합니다. 먼저, ISO 26262 개념 단계를 실제 사례에 적용하여 보여줌으로써, “안전은 초기 설계 단계에서부터 체계적으로 다뤄져야 한다”는 점을 강조합니다. 다양한 분석 기법(HAZOP, FMEA, STPA 등)을 상보적으로 활용하면 서로 보완하여 더 포괄적인 위험 식별이 가능함을 입증했습니다. 한 가지 방법에만 의존하기보다는 여러 접근을 병행함으로써 “모르는 위험을 모르는 상태”를 줄일 수 있다는 것입니다. 특히 STPA 같은 방법은 전통 기법이 간과하기 쉬운 시스템 상호작용 문제나 인적 요인을 드러내는 데 유용했습니다.

 

Example Fail-Safe Concepts for ALC System Components

 

두 번째로, 자동화 수준에 따른 안전 요구사항의 차이를 명확히 인식해야 합니다. 운전자가 대부분 주행을 맡는 레벨 1-2에서는 시스템 고장 시 즉시 안전 상태(예: 시스템 해제)로 전환하는 Fail-Safe 전략도 수용 가능할지 모릅니다. 그러나 차량 스스로 주행하는 레벨 3-5에서는 한 번의 고장으로 시스템이 꺼져버리면 탑승자가 대처할 시간이 없으므로 Fail-Operational 능력, 즉 고장이 나도 일정 시간 계속 조향을 유지할 수 있는 강건한 설계가 필요합니다.

Example Fail-Operational Concepts for ALC System Components

 

보고서는 이러한 개념을 이중 제어기 구조, 다중 센서 융합, 투표 회로 등의 예로 설명하며, ADAS 시스템에서는 고장에 대비한 성능 저하 모드가 중요함을 강조합니다. 요컨대, 자동화 단계가 올라갈수록 “한계상황에서도 시스템이 안전한 상태를 유지하도록 설계하라”는 점을 강조합니다.

 

또 다른 중요한 점은 인간 운전자와의 상호작용 및 다른 차량 기능과의 통합입니다. 앞서 언급했듯이 안전 목표 중 SG4 (제어 전환)와 SG5 (기능 간 조정)는 기술적 문제뿐 아니라 휴먼팩터와 시스템 통합 이슈입니다. 자율주행으로 나아갈수록 운전자의 역할이 축소되지만 완전히 사라지지 않는 과도기적 단계(Level 2-3)에서는 운전자에게 언제, 어떻게 개입 요청을 하고 제어를 넘겨줄지가 안전의 핵심임을 알 수 있습니다. 보고서는 운전자가 일정 시간 핸들을 잡지 않으면 경고 후 시스템이 해제되는 시나리오 등을 가정하여 이러한 문제를 분석했습니다. 이는 ADAS 개발 시 인간공학적 설계, 예컨대 명확한 HMI(경고음/계기판 메시지)나 운전자 모니터링 카메라의 필요성을 시사합니다. 마찬가지로 ALC와 ACC, 차선변경 보조 같은 기능들이 동시에 작동할 경우의 상호 간섭도 미리 고려해야 함을 보여줍니다. 실제 차량 개발에서는 종종 각 기능을 별도로 개발하다가 통합 단계에서 충돌하는 경우가 있는데, 초기 개념 단계부터 시스템 간 인터페이스와 우선순위를 정의하면 이런 시행착오를 줄일 수 있을 것입니다.

 

끝으로, 이 보고서는 안전 요구사항으로부터 테스트 시나리오를 도출하는 접근을 제시했다는 점에서도 의미가 있습니다. 도출된 안전 요구사항과 위험 시나리오를 그대로 두지 않고, 이것이 제대로 충족되었는지 입증할 시험 케이스로 연결짓는 활동은 기능 안전 프로세스에서 흔히 간과되곤 합니다. 하지만 보고서에서는 각 안전 목표별로 대표적인 시험 시나리오를 예시함으로써, 엔지니어들이 “이 요구사항을 어떻게 테스트할 것인가?”까지 고민하도록 유도합니다. 이는 결국 안전 사례(Safety Case)를 입증하는 데 필수적인 부분이죠. ADAS 엔지니어라면 이처럼 처음에 세운 안전 목표 -> 기술 구현 -> 검증 방법의 추적성을 끝까지 관리하는 것이 얼마나 중요한지 새겨볼 만합니다.

 

7. 맺음말

NHTSA의 이번 연구는 자율주행 시대를 대비한 선제적인 안전 노력의 한 예로 볼 수 있습니다. 비록 특정 차량을 대상으로 한 것은 아닌 이론적 연구이지만, 여기서 얻은 통찰은 실제 차량 개발과 안전 기준 마련에 밑거름이 되고 있습니다. 요약하자면, “명확한 안전 목표 설정 → 다각도의 위험 분석 → 철저한 요구사항 도출 → 예견된 시나리오에 대한 대비”라는 일련의 과정이 ALC와 같은 첨단 제어 시스템에 반드시 필요합니다. ADAS 및 자율주행 시스템 엔지니어들은 이 사례를 통해 기능 안전을 한층 체계적이고 통합적인 관점에서 접근할 수 있을 것입니다.