기술 및 엔지니어링 정보/Safety Engineering

SaFAD (Safety First for Automated Driving) 정리 (3) - 자율주행 안전 설계의 핵심: 2.2장 '역량 구현을 위한 요소' 분석

Junique 2025. 6. 10. 23:39
반응형

1. 서론: '설계 기반 안전'과 SaFAD 2.2장의 중요성

자율주행 기술의 눈부신 발전과 함께, 그 무엇보다 중요한 가치는 바로 '안전'입니다. 업계는 평균적인 인간 운전자보다 더 안전한, 즉 '긍정적 위험 균형(positive risk balance)'을 달성하는 자율주행 시스템 개발이라는 공동의 목표를 향해 나아가고 있습니다. 이러한 목표 달성을 위한 핵심 철학 중 하나는 '설계 기반 안전(Safety by Design)'으로, 개발 초기 단계부터 시스템의 모든 측면에서 안전을 최우선으로 고려하는 접근 방식입니다. 2019년에 주요 자동차 제조사, 공급업체 및 기술 기업들이 협력하여 발표한 "Safety First for Automated Driving (SaFAD)" 백서는 이러한 설계 기반 안전을 체계적으로 구현하기 위한 포괄적인 프레임워크를 제시합니다. 특히 SaFAD 의 2장, "Systematically Developing Dependability to Support Safety by Design"은 신뢰성(Dependability) 확보를 통해 어떻게 안전 설계를 지원할 수 있는지 구체적인 방법론을 제시하고 있습니다.  

 

본 포스팅은 SaFAD 백서의 2.2절 "역량 구현을 위한 요소(Elements for Implementing the Capabilities)"에 초점을 맞추어, 추상적인 안전 '역량(Capabilities)'들이 어떻게 구체적인 시스템 '요소(Elements)'들을 통해 구현되는지 분석 및 정리하고자 합니다. 자율주행 기술은 다양한 SAE 레벨과 운영 설계 도메인(ODD, Operational Design Domain) 정의에 따라 다양한 형태로 구현될 수 있지만, SaFAD 2.2절은 이러한 다양성 속에서도 공통적으로 고려될 수 있는 핵심 '요소'들을 제시함으로써 시스템의 복잡성을 관리하고, 안전 요구사항의 추적성을 확보하며, 체계적인 검증 및 유효성 확인(V&V, Verification and Validation)의 견고한 토대를 마련하는 데 중요한 역할을 합니다. 이는 단순히 개별 구성 요소를 나열하는 것을 넘어, 시스템의 안전성이 각 요소의 독립적인 성능뿐만 아니라 요소들 간의 정교한 '상호작용'과 '통합'에 의해 결정된다는 근본적인 원칙을 내포하고 있으며, 이는 설계 초기 단계부터 전체 시스템 아키텍처 관점에서 안전을 고려해야 함을 시사합니다. SaFAD의 궁극적인 목표인 '긍정적 위험 균형' 달성을 위해서는 '설계 기반 안전'이 필수적이며, SaFAD 2장은 '신뢰성'의 체계적 개발을 통해 이를 지원합니다. 그중 2.1장이 신뢰성 영역에서 안전 '역량'을 도출한다면, 2.2장은 이 추상적인 '역량'을 구체적인 '요소'로 구현하는 방법을 제시함으로써, 안전 철학을 실제 시스템 아키텍처로 변환하는 핵심적인 다리 역할을 수행합니다. 따라서 본 절의 분석은 자율주행 업계 현직 엔지니어들에게 SaFAD의 안전 철학을 실제 시스템 설계에 적용하는 데 필요한 실질적인 통찰을 제공할 것입니다.  

 

2. 자율주행 안전 역량과 시스템 요소의 이해

자율주행 시스템의 안전성을 체계적으로 확보하기 위해, SaFAD는 먼저 시스템이 갖추어야 할 근본적인 안전 속성을 '역량(Capabilities)'으로 정의하고, 이러한 역량들이 구체적인 시스템 '요소(Elements)'를 통해 어떻게 구현될 수 있는지 설명합니다.

 

안전 역량(Capabilities) 재정의: Fail-Safe (FS)와 Fail-Degraded (FD)

SaFAD 2.1.6절에서는 자율주행 시스템의 안전 역량을 크게 두 가지 범주로 구분합니다: Fail-Safe (FS) 역량과 Fail-Degraded (FD) 역량입니다.

  • Fail-Safe (FS) 역량: 주로 시스템의 정상 작동(nominal performance) 중에 고객 가치를 제공하고 활성화하는 기능과 관련됩니다. 이러한 FS 역량의 비가용성이 안전에 미치는 영향이 충분히 낮거나, 다른 Fail-Degraded 역량으로 그 기능이 보완될 수 있는 경우 해당 기능은 중단될 수 있습니다.
  • Fail-Degraded (FD) 역량: 시스템에 고장이 발생했을 경우에도, 정의된 특정 성능 수준을 유지하면서 차량을 안전한 상태, 즉 최종 최소 위험 조건(MRC, Minimal Risk Condition)으로 전환하거나 해당 조건에 도달할 때까지 일정 시간 동안 안전한 시스템 작동을 보장해야 하는 역량입니다.

이러한 FS와 FD 역량의 구분은 시스템 설계 시 이중적인 안전 목표를 설정해야 함을 의미합니다. 즉, 정상 작동 상황에서의 안전(FS)과 예기치 않은 고장 상황에서의 안전(FD) 모두를 포괄적으로 고려한 아키텍처 설계가 필요하며, 이는 시스템 요소의 선택, 중복성(redundancy) 전략, 그리고 고장 감지 및 완화 메커니즘 설계에 직접적인 영향을 미칩니다. 자율주행 시스템은 예측 불가능하고 다양한 실제 도로 환경에서 안전하게 운행되어야 하므로, SaFAD는 '역량'이라는 개념을 통해 시스템이 필수적으로 갖춰야 할 안전 관련 속성들을 명확히 정의합니다. FS와 FD 역량의 구분은 개발자가 각기 다른 운영 시나리오(정상 작동, 고장 발생)에 적합한 맞춤형 안전 메커니즘을 명확하게 정의하고 구현할 수 있도록 안내하는 역할을 합니다.

 

시스템 요소(Elements)의 개념: 역량 구현의 실체

SaFAD 2.2절에서 정의하는 '시스템 요소(Elements)'는 앞서 설명한 추상적인 FS 및 FD 역량들을 구현하는 구체적인 하드웨어 및 소프트웨어 구성요소들을 의미합니다. SaFAD 2.2.2절에서는 환경 인지 센서, 센서 융합, 해석 및 예측, 주행 계획, ADS 모드 관리자, 인간-기계 상호작용(HMI), 모니터 등 20가지의 논리적 구성 요소들을 제시합니다. 이러한 요소들은 단독으로 또는 서로 복잡하게 상호작용하며 자율주행 시스템의 다양한 안전 기능들을 수행합니다. 결국, FS/FD 역량과 시스템 요소 간의 명확한 매핑은 추상적인 안전 요구사항들이 실제 시스템 아키텍처에 어떻게 구체적으로 반영되는지를 보여주는 핵심적인 연결고리이며, 시스템의 전체적인 안전성을 확보하고 검증하는 데 있어 필수적인 기반을 제공합니다.  

 

3. 주요 안전 역량과 요소 간의 상호작용 분석 (SaFAD 2.2.1 기반)

SaFAD 2.2.1절은 앞서 정의된 Fail-Safe (FS) 및 Fail-Degraded (FD) 역량들이 구체적으로 어떤 시스템 요소들의 조합과 상호작용을 통해 구현될 수 있는지를 상세히 설명합니다. 각 역량은 하나 이상의 요소들과 연결되며, 이 요소들은 서로 데이터를 주고받으며 협력하여 해당 역량을 달성합니다. 본 절에서는 SaFAD 2.2.1절의 그림 12부터 24를 참조하여 주요 안전 역량과 관련 요소들 간의 상호작용을 심층적으로 분석합니다.

 

자율주행 시스템이 안전하게 운행하기 위한 가장 기본적인 전제 조건은 차량 자신의 정확한 위치를 알고 주변 환경을 올바르게 인지하는 것입니다.

 

FS_1: 위치 파악 (Determine location)

 

이 역량은 자율주행 시스템이 정의된 운영 설계 도메인(ODD) 내에서만 작동하도록 보장하기 위해 차량의 현재 위치를 정확하게 파악하는 것을 목표로 합니다. 이를 위해 Environment Perception Sensors (예: 카메라, LiDAR. Radar)수집된 정보가 Sensor Fusion 알고리즘을 통해 결합됩니다. 이후, A-Priori Perception Sensors (특히 HD Map과 같은 고정밀 지도 데이터)와 Sensor Fusion을 통해 융합된 정보를 바탕으로 Localization 요소는 차량의 현재 위치를 최종적으로 결정합니다. 또한, Egomotion (자차 거동 정보)은 차량이 ODD 경계를 벗어날 가능성을 예측하는 데 활용될 수 있습니다. FS_1은 단순한 GPS 좌표 획득을 넘어, 다양한 센서 데이터를 융합하고 지도 정보와 정밀하게 정합하여 '신뢰할 수 있는 위치'를 확보하는 복합적인 프로세스이며, 이는 ODD 준수 여부 판단의 핵심 전제 조건이 됩니다.  

 

 

FS_2: 주변 관련 정적 및 동적 객체 인지 (Perceive relevant static and dynamic objects in proximity to the automated vehicle)

 

이 역량은 자율주행차가 기능적 행동을 수행하는 데 필요한 모든 주변 개체들을 인지하고, 전처리하여 안전하게 제공하는 것을 목표로 합니다. 특히 충돌 위험과 직접적으로 관련된 동적 객체(다른 차량, 보행자 등 취약한 도로 사용자)와 정적 객체(도로 경계, 교통 안내 신호, 장애물 등)의 인지가 중요합니다. Sensor Fusion 요소가 이 과정에서 핵심적인 역할을 수행하며, 온보드 Environment Perception Sensors, Localization 요소로부터 제공되는 지도 및 현재 위치 정보, Egomotion 정보, 그리고 선택적으로 사용될 수 있는 V2X (Vehicle-to-Everything) 통신 정보를 종합적으로 활용하여 현재 상황에 대한 세계 모델(present world model)을 생성합니다. Traffic Rules 정보는 생성된 세계 모델의 내용을 최적화하고 의미론적 이해를 높이는 데 사용될 수 있습니다. FS_2는 단순한 객체 감지를 넘어, 감지된 객체의 종류(예: 차량, 보행자, 자전거)와 속성(예: 크기, 속도, 이동 방향)을 포함한 의미론적 이해를 목표로 합니다. 특히 Localization을 통해 제공되는 지도 정보는 도로 경계선이나 표지판과 같은 정적 객체 인지에 있어 독립적인 센서 역할을 수행함으로써 전체 인지 시스템의 강건성을 향상시키는 데 기여합니다.  

 

그다음 정확한 현재 상황 인지를 바탕으로, 자율주행 시스템은 주변 객체들의 미래 행동을 예측하고 이를 기반으로 안전하고 합법적인 주행 계획을 수립해야 합니다.

 

 

FS_3: 관련 객체의 미래 행동 예측 (Predict the future behavior of relevant objects)

 

FS_2에서 생성된 현재 세계 모델은 안전하고 합법적인 주행 계획(FS_4)을 수립하기 위한 입력으로 충분하지 않을 수 있습니다. 따라서 이 역량은 현재 세계 모델을 확장하여 현재뿐만 아니라 예측된 미래 상태까지 반영함으로써 동적 주행 상황, 즉 '장면(scene)'에 대한 완전한 설명을 생성하는 것을 목표로 합니다. 이를 위해 다른 동적 객체들의 의도를 해석하고, 가려진 영역(occlusions)으로 인해 보이지 않을 수 있는 객체들의 존재 가능성까지 고려하여 미래 움직임을 예측해야 합니다. 또한, 낮은 노면 마찰이나 안개, 폭우 등으로 인한 센서 성능 저하와 같은 현재 환경 조건들도 예측 과정에 반드시 반영되어야 합니다. Sensor Fusion으로부터 현재 상황 정보를 입력받고, Traffic Rules를 참조하여 Interpretation and Prediction 요소가 이러한 예측을 수행합니다. FS_3은 확률론적 추론과 규칙 기반 접근 방식을 결합하여 불확실성 하에서 최선의 예측을 수행하려는 시도이며, 이는 후속 주행 계획의 안전성과 효율성에 직접적인 영향을 미칩니다.

 

 

FS_4: 충돌 없고 합법적인 주행 계획 생성 (Create a collision-free and lawful driving plan)

 

이 역량은 충돌을 회피하고 모든 적용 가능한 교통 법규를 준수하는 주행 정책을 생성하는 것을 목표로 합니다. 이를 위해서는 먼저 차량이 주변 환경을 정확하게 감지하고(Localization), 관련 객체들의 미래 행동을 예측해야 합니다(Interpretation and Prediction). 이러한 정보를 바탕으로 Drive Planning 요소는 Traffic Rules를 고려하여 합법적인 주행 계획을 생성합니다. 이때, 차량의 물리적 특성(예: 가속, 감속, 선회 능력)을 반영하는 Egomotion 정보와 현재 시스템의 작동 모드(정상 작동 모드 또는 성능 저하/최소 위험 조건 모드)를 알려주는 ADS Mode Manager의 정보도 중요한 입력으로 고려됩니다. FS_4는 다중 제약 조건 하에서의 최적화 문제로 볼 수 있습니다. 안전(충돌 회피), 합법성(교통 규칙 준수), 차량의 물리적 한계, 현재 시스템 상태 등 다양한 정보를 종합적으로 고려하여 최적의 주행 경로와 행동을 결정해야 하며, 이는 Drive Planning 요소의 핵심 기능입니다.  

 

안전하고 합법적인 주행 계획이 수립되면, 이를 차량의 실제 움직임으로 정확하게 변환하고 필요한 경우 다른 도로 사용자와 소통해야 합니다.

 

FS_5: 주행 계획의 정확한 실행 및 작동 (Correctly execute and actuate the driving plan)

 

Drive Planning 요소가 충돌 없고 합법적인 주행 계획(예: 목표 궤적)을 생성하면, Motion Control 요소는 현재 차량의 Egomotion을 고려하여 이 계획을 실제 차량의 움직임(조향, 제동 또는 가속 등)으로 변환하기 위한 적절한 작동 신호를 생성합니다. 이 신호들은 최종적으로 Motion Actuators (예: 스티어링 시스템, 브레이크 시스템, 파워트레인)로 전달되어 차량의 물리적인 움직임을 제어합니다. 이 역량은 계획된 주행과 실제 차량 거동 사이의 정밀한 변환 및 실행을 요구합니다. 따라서 제어 시스템의 안정성, 정확성 및 반응 속도가 매우 중요하며, 현재 차량 상태를 반영하는 Egomotion 피드백을 통한 폐쇄 루프 제어(closed-loop control)가 필수적입니다.

 

 

FS_6: 다른 (취약한) 도로 사용자와의 소통 및 상호작용 (Communicate and interact with other (vulnerable) road users)

 

자율주행 차량은 자신이 앞으로 취할 행동을 주변의 다른 (취약한) 도로 사용자들에게 알릴 필요가 있습니다. 이는 수동 운전 시 운전자들이 방향 지시등이나 경적 등을 사용하는 것과 유사합니다. 자율주행 시스템은 시각적(예: 방향 지시등, 전조등 점멸) 및 청각적 표시기를 사용하여 교통 규칙을 준수하고 의도를 전달합니다. 또한, V2X 통신이나 다른 형태의 상호작용 방식도 활용될 수 있습니다. 이러한 소통은 Drive Planning에서 결정된 의도를 반영하여 Motion Control을 통한 차량 거동 변화와 Body Control with Secondary Actuators (예: 방향 지시등 제어)를 통해 이루어집니다. FS_6은 자율주행차가 사회적으로 수용 가능한 방식으로 운행하고, 다른 도로 사용자와의 안전하고 예측 가능한 상호작용을 가능하게 하는 필수적인 역량입니다. 이는 단순한 정보 전달을 넘어, 다른 도로 사용자의 예측 가능성을 높여 상호 안전을 증진하는 데 기여합니다.  

 

자율주행 시스템은 정상적인 성능을 유지하는지 지속적으로 감시하고, 성능 저하나 고장이 발생했을 때 이를 감지하여 안전하게 대응할 수 있어야 합니다.

 

FS_7: 명시된 공칭 성능 미달 여부 판단 (Determine if specified nominal performance is not achieved)

 

자율주행 시스템의 어떤 요소든, 단독으로 또는 다른 요소들과의 조합으로 인해 비정상적인 행동을 유발할 수 있습니다. 따라서 시스템의 비정상적인 공칭 성능을 감지하기 위한 메커니즘이 필요합니다. Monitors (본 백서에서는 명시적으로 그림에 표시되지 않았지만, 시스템 전반에 걸쳐 암시적으로 존재)는 요소 수준 또는 시스템 수준에서 정의된 공칭 성능 경계를 감시하고, 성능 미달이 감지되면 이를 ADS Mode Manager에 알려 안전한 반응(FD_4에서 다룸)을 보장할 수 있도록 충분한 시간을 확보합니다. 이 역량은 시스템의 자기 진단 능력으로, 예상치 못한 인적 요인(오용, 조작 포함), 의도된 기능의 편차, 기술적 한계, 환경 조건, 시스템적 및 무작위적 고장 모드 등 다양한 원인으로 발생할 수 있는 성능 저하를 포괄적으로 감지해야 합니다.  

 

FD_2: 저하된 성능 사용 불가 감지 (Detect when degraded performance is not available)

 

공칭 주행 모드에서 저하된 성능이 활발하게 사용되고 있지 않더라도, 가능한 저하 모드의 사용 불가능성을 감지하는 것이 보장되어야 합니다. 만약 저하 전략이 저하 원인에 따라 달라진다면, 저하 원인도 식별되어야 합니다. Monitors는 Degraded Mode Elements의 가용성을 지속적으로 확인하고, 사용 불가가 감지되면 이를 ADS Mode Manager에 전달합니다. FD_2는 안전의 두 번째 방어선이 항상 준비되어 있는지 확인하는 중요한 기능입니다. 즉, 명목 기능이 실패했을 때 안전하게 전환할 수 있는 저하 모드가 실제로 작동 가능한지 지속적으로 검증하는 것입니다.  

 

FD_4: 불충분한 공칭 성능 및 기타 고장(예: 하드웨어 결함 기반)에 대한 저하를 통한 반응 (React to insufficient nominal performance and other failures via degradation)

 

FS_7에서 설명한 불충분한 공칭 성능이나 기타 고장(예: 하드웨어 결함 기반)이 감지되면, 시스템은 잘 정의된 시간 내에 저하 모드로 전환하여 적절히 반응해야 합니다. 이 작업은 Monitors에 의해 트리거되어 ADS Mode Manager가 수행하며, 해당 트리거에 대한 정의된 반응을 시작합니다. 이는 고장의 심각도에 따라 소수의 요소에만 영향을 미치거나 거의 전체 자율주행 시스템에 영향을 미칠 수 있습니다. 요약하자면, 발생할 수 있는 다양한 고장 조합에 대해 어떤 저하 모드를 선택할지 결정하는 것이 이 역량의 핵심 과제입니다. FD_4는 시스템이 고장 상황을 인지하고 안전하게 대처하는 핵심 메커니즘입니다.  

 

 

자율주행 시스템, 특히 운전자 개입이 예상되는 L3 시스템에서는 운전자의 제어 가능성을 보장하고 모드 전환을 안전하게 관리하는 것이 매우 중요합니다.

 

FD_1: 차량 운전자를 위한 제어 가능성 보장 (Ensure controllability for the vehicle operator)

 

차량 운전자의 제어 수준은 SAE J3016에 따른 자동화 수준 및 사용 사례 정의에 따라 다르므로, 이를 보장해야 합니다. SAE L3 자율주행 시스템에서는 운전자가 운전 과제에서 주의를 돌릴 수 있습니다. 이 경우, 시스템은 운전자가 시스템의 제어권 인수 요청이 임박했을 때 운전 과제에 다시 집중하고 상황 인식을 되찾을 수 있도록 차량 제어를 유지할 책임이 있습니다. 따라서 자율주행 시스템은 운전자의 주의 산만이나 모드 혼동 가능성을 지속적으로 모니터링해야 합니다(User State Determination). 이는 수동 운전 모드도 갖춘 SAE L4 자율주행 시스템 차량에도 유효합니다. ADS Mode Manager는 운전자(또는 원격 조작자)의 차량 제어 의지를 감지하고 이에 반응해야 하며, Human-Machine Interaction (HMI)를 통해 계획된 차량 움직임(Drive Planning)에 대한 시각적 출력을 제공합니다. FD_1은 특히 L3 시스템에서 인간과 시스템 간의 원활하고 안전한 제어권 전환을 위한 핵심이며, User State Determination과 HMI의 역할이 매우 중요합니다.  

 

FD_3: 안전한 모드 전환 및 인식 보장 (Ensure safe mode transitions and awareness)

 

모드 전환이 정확하게 수행되고 필요한 경우 해당 운전자에 의해 제어되도록 보장해야 합니다. 또한 해당 운전자는 현재 모드와 그로부터 파생되는 책임을 인지해야 합니다. 예를 들어, 자동 모드 작동은 ODD 내부에 있을 때만 허용되며, ODD를 벗어나기 전이나 운전자가 다시 제어권을 잡은 결과로 비활성화됩니다. ADS Mode Manager는 모드 변경 여부를 결정하는 데 필요한 모든 정보(전기적 고장, 성능 문제, Vehicle State, User State Determination에 대한 Monitors 정보 등)를 수집한 후 안전하게 모드를 전환합니다. 비활성화는 운전자가 차량의 모든 기능을 제어할 수 있는 상태이거나 차량이 안전한 상태에 있을 때만 가능합니다. HMI는 계획된 차량 움직임(Drive Planning)과 함께 시각적 출력을 제공하여 운전자의 모드 인식을 돕습니다. FD_3은 '모드 혼동(mode confusion)'을 방지하고 운전자가 자신의 책임을 명확히 인지하도록 하는 데 중점을 둡니다.  

 

시스템이 이미 저하된 상태이거나 추가적인 고장이 발생했을 때, 안전을 유지하기 위해 성능을 더욱 조절하고 제한된 조건 하에서도 최소한의 안전한 주행을 지속할 수 있어야 합니다.

 

FD_5: 저하 모드의 고장 발생 시 시스템 성능 감소 (Reduce system performance in the presence of failure for the degraded mode)

 

저하 모드 중 고장이 발생했을 경우의 반응이 정의되어야 합니다. ADS Mode Manager가 결정한 목표 MRC(최소 위험 조건)와 저하된 제약 조건(예: 인식 범위 감소)을 포함할 수 있는 기타 입력을 고려하여, Drive Planning은 해당 MRC를 달성하기 위해 감소된 시스템 성능으로 충돌 없고 합법적인 차량 움직임을 생성할 수 있어야 합니다. 감소된 시스템 성능 역량은 자율주행 시스템의 일부 기능 상실부터 자율주행을 안전하게 중단하라는 요청까지 다양합니다. 또한 HMI를 통한 모드 변경(예: 제어권 인수 요청)에 대한 운전자 정보도 포함됩니다. FD_5는 이미 저하된 상태에서 추가적인 고장이 발생했을 때 시스템이 어떻게 더 안전한 방향으로 성능을 조절하는지를 다룹니다.  

 

FD_6: 축소된 시스템 제약 조건 내에서 저하 모드 수행 (Perform degraded mode within reduced system constraints)

 

저하 모드에서의 자율주행 시스템 작동은 새로운 한계가 정의된 공칭 역량으로 작동됩니다. 다중 저하 모드가 가능합니다. MRC를 달성하기 위해 MRM(최소 위험 기동)이 신중하게 정의되어야 합니다. 이 경우 자율주행 시스템은 잘 정의된 시간 내에 동적 주행 과업(DDT)을 수행할 수 있어야 합니다. 저하 모드에 따라 적절한 HMI 작동(Human-Machine Interaction), V2X 통신, Motion Control, Body Control with Secondary Actuators 등이 구현되어야 합니다. FD_6은 시스템이 제한된 조건 하에서도 최소한의 안전한 주행을 지속할 수 있음을 보장하는 역량으로, 완전한 정지 외에 다른 안전 상태로 전환할 수 있는 유연성을 제공합니다.  

 

4. 핵심 시스템 요소 정리: 역할과 중요성 (SaFAD 2.2.2 기반)

SaFAD 2.2.2절은 자율주행 시스템의 안전 역량을 구현하는 데 필요한 20가지 핵심 시스템 요소를 상세히 설명합니다. 이 요소들은 감지, 판단, 제어, 통신 등 다양한 기능을 수행하며, L3/L4 수준의 고도 자율주행 시스템에서 특히 그 중요성이 부각됩니다. 본 절에서는 이 중 몇 가지 핵심 요소를 선택하여 그 기능, L3/L4 시스템에서의 중요성, 그리고 다른 요소들과의 주요 상호작용을 심층적으로 분석합니다. 이해를 돕기 위해, SaFAD 2.2.2에 나열된 20개 요소 각각의 핵심 기능을 간략히 요약한 표를 먼저 제시합니다.

 

요소 (Element) 핵심 기능 요약
환경 인지 센서 (Environment Perception Sensors) 카메라, LiDAR, RADAR 등으로 주변 환경 정보를 수집하여 월드 모델 생성의 기초 데이터 제공
사전 인지 센서 (A-Priori Perception Sensors) HD Map, GNSS 등 사전에 구축된 정보를 활용하여 위치 파악 및 환경 이해 지원
V2X (Vehicle-to-Everything) 차량-사물 간 통신을 통해 교통 신호 상태, 위험 정보 등 유용한 외부 정보 수신
센서 융합 (Sensor Fusion) 다양한 센서 데이터를 통합 분석하여 강건하고 정확한 주변 환경 모델 생성
해석 및 예측 (Interpretation and Prediction) 현재 환경 모델을 기반으로 다른 도로 사용자의 의도 해석 및 미래 행동 예측
위치 파악 (Localization) HD Map 및 센서 정보를 활용하여 차량의 정확한 현재 위치 및 자세 추정
ADS 모드 관리자 (ADS Mode Manager) 자율주행 시스템의 작동 모드(수동, 자동, 저하 등)를 안전하게 전환하고 관리
자차 거동 (Egomotion) 차량의 현재 속도, 가속도, 요 레이트 등 자체 운동 상태 정보 제공
주행 계획 (Drive Planning) 인지 및 예측 정보를 바탕으로 충돌 없고 합법적인 주행 경로 및 행동 계획 수립
교통 규칙 (Traffic Rules) 기계가 해석 가능한 형태로 교통 법규 정보를 제공하여 합법적인 주행 계획 지원
모션 제어 (Motion Control) 주행 계획에 따라 차량의 종방향 및 횡방향 움직임을 제어하기 위한 액추에이터 명령 생성
모션 액추에이터 (Motion Actuators) 스티어링, 브레이크, 파워트레인 등 차량의 실제 움직임을 물리적으로 실행
보조 액추에이터를 이용한 차체 제어 (Body Control with Secondary Actuators) 방향 지시등, 와이퍼 등 차량의 부가 기능을 제어하여 주행 의도 전달 및 안전 조건 확보
인간-기계 상호작용 (Human-Machine Interaction) 운전자/탑승자와 시스템 간의 정보 교환 및 조작 인터페이스 제공 (예: 경고, 알림, 제어권 전환 요청)
사용자 상태 결정 (User State Determination) 운전자의 각성 상태, 주의 수준, 제어권 인수 준비 상태 등 모니터링
차량 상태 (Vehicle State) 연료량, 타이어 공기압 등 차량 자체의 시스템 상태 정보 제공
모니터 (Monitors - Nominal and Degraded Modes) 시스템 요소들의 정상 및 저하 상태에서의 성능, 보안 이벤트, 고장 등을 감시
처리 장치 (Processing Unit) 자율주행 알고리즘 연산 및 시스템 제어를 위한 고성능 컴퓨팅 자원 제공
전원 공급 (Power Supply) 시스템의 안정적인 작동을 위한 전력 공급 및 이중화 관리
통신 네트워크 (Communication Network) 시스템 내부 요소 간 및 외부와의 데이터 통신을 위한 안정적이고 신뢰성 있는 네트워크 환경 제공
 

4.1 환경 인지 센서 (Environment Perception Sensors)

  • 기능: 환경 인지 센서 클러스터는 차량 주변의 모든 관련 외부 정보를 캡처하여 월드 모델을 생성하는 역할을 합니다. 감지 대상에는 주행 가능 영역을 정의하는 도로 인프라, 다른 차량이나 보행자와 같은 (취약한) 도로 사용자, 장애물, 교통 표지판, 그리고 심지어 철도 건널목의 경고음과 같은 음향 신호까지 포함될 수 있습니다. 현재 기술 수준에서는 단일 센서만으로 신뢰성, 정밀도, 다양한 환경 조건에 대한 강건성을 동시에 만족시키기 어렵기 때문에, 카메라, LiDAR, RADAR, 초음파 등 다양한 종류의 센서를 조합하는 다중 모드(multimodal) 접근 방식이 필수적입니다.

  • L3/L4 시스템에서의 중요성: L3/L4 자율주행 시스템은 운전자의 지속적인 개입 없이 스스로 환경을 인지하고 판단해야 하므로, 이 센서들은 시스템의 '눈과 귀'와 같은 핵심적인 역할을 수행합니다. 인지 정보의 정확성과 신뢰성은 후속 단계인 판단, 예측, 계획의 성공을 위한 가장 기본적인 전제 조건입니다. 따라서 센서 자체의 성능 저하(예: 센서 오염으로 인한 시야 가림(sensor blindness), 센서의 교정 값 틀어짐(de-calibration) 또는 정렬 불량(misalignment))를 감지하고 대응할 수 있는 능력 또한 매우 중요합니다.

  • 다른 요소들과의 주요 상호작용: 환경 인지 센서는 Sensor Fusion 요소에 주요 입력 데이터를 제공하며, Localization 요소가 차량의 정확한 위치를 파악하는 데 필요한 특징점 정보를 제공합니다. 또한, A-Priori Perception Sensors (특히 HD Map)로부터 얻는 정보와 상호 보완적으로 활용되어 전체적인 환경 이해도를 높입니다.

  • 추가적 고려사항: 단일 센서의 한계를 극복하기 위한 다중 모달리티 접근 방식과 함께, 각 센서 데이터의 시간적, 공간적 정합(registration) 및 융합 기술의 고도화가 L3/L4 시스템의 인지 성능을 좌우합니다. 센서 자체의 건전성(health status)을 지속적으로 모니터링하고, 필요시 보정하거나 안전 모드로 전환하는 기능 또한 중요하게 고려되어야 합니다.

4.2 센서 융합 (Sensor Fusion)

  • 기능: 센서 융합은 다양한 종류의 센서(환경 인지 센서, 위치 정보 센서, 자차 거동 센서 등)와 외부 정보원(예: V2X 통신)으로부터 입력된 방대하고 이질적인 데이터들을 효과적으로 결합하고, 각 정보의 신뢰도에 따라 가중치를 부여하며, 시간의 흐름에 따라 정보를 누적하여 보다 강건하고 정확한 현재 세계 모델(present world model)을 생성하는 과정입니다.

  • L3/L4 시스템에서의 중요성: 센서 융합은 개별 센서가 가질 수 있는 약점(예: 특정 환경 조건에서의 성능 저하, 제한된 감지 범위)을 상호 보완하고, 전체 시스템의 노이즈를 줄이며, 감지 범위를 확장하는 데 기여합니다. 이를 통해 전체적인 인지 시스템의 신뢰성과 정확성을 크게 향상시킬 수 있습니다. 또한, 교차 검증(cross-referencing) 메커니즘을 통해 개별 센서가 스스로 감지하지 못하는 한계나 오류를 발견해내는 역할도 수행할 수 있습니다.

  • 다른 요소들과의 주요 상호작용: Environment Perception Sensors, Localization (위치 정보), Egomotion (자차 거동 정보), V2X (차량-사물 통신 정보) 등으로부터 주요 입력을 받아 처리한 후, 생성된 세계 모델을 Interpretation and Prediction (해석 및 예측) 요소와 Drive Planning (주행 계획) 요소에 핵심적인 입력 정보로 제공합니다.

  • 추가적 고려사항: 센서 융합은 단순히 여러 데이터를 합치는 것을 넘어, 각 센서의 고유한 특성(정확도, 신뢰도, 업데이트 주기, 측정 오차 범위 등)과 현재 상황(예: 날씨, 조도)을 고려한 정교한 알고리즘을 요구합니다. L3/L4 자율주행 시스템에서는 다양한 도로 환경과 예기치 않은 돌발 상황에 대해서도 센서 융합 알고리즘이 강건하게 작동하여 일관되고 신뢰할 수 있는 환경 정보를 제공하는 것이 핵심적인 과제입니다.

4.3 해석 및 예측 (Interpretation and Prediction)

  • 기능: 센서 융합을 통해 생성된 현재 주변 환경에 대한 세계 모델을 바탕으로, 다른 도로 사용자들(특히 보행자나 자전거 이용자와 같은 취약한 도로 사용자)의 의도를 해석하고 그들의 미래 행동을 예측합니다. 이 과정에서는 현재 명확히 보이지 않는 가려진 영역(occlusion) 뒤에 존재할 수 있는 객체의 가능성, 현재 도로의 마찰 상태, 안개나 폭우와 같은 기상 조건으로 인한 센서 성능 저하 등 다양한 상황적 요인들도 종합적으로 고려됩니다.

  • L3/L4 시스템에서의 중요성: 안전하고 효율적인 주행 계획을 수립하기 위해서는 주변 상황에 대한 정확한 해석과 미래에 대한 신뢰할 수 있는 예측이 필수적입니다. 특히 운전자의 개입 없이 시스템 스스로 판단하고 제어해야 하는 L3/L4 자율주행 시스템에서는 예측의 정확도가 충돌 회피 능력과 원활한 교통 흐름 유지에 직접적인 영향을 미칩니다. SaFAD 문서에서 강조하는 '합리적인 최악의 행동(worst-case reasonable behavior)' 예측은, 단순히 물리적으로 가능한 모든 최악의 시나리오를 가정하는 것이 아니라, 실제 도로 사용자들이 보일 수 있는 행동 중 가장 위험하면서도 발생 가능성이 있는 행동을 예측하는 것을 의미하며, 이는 과도하게 보수적이거나 위험한 주행을 피하는 데 중요합니다.

  • 다른 요소들과의 주요 상호작용: Sensor Fusion 요소로부터 현재 상황에 대한 정보를 입력받아 처리한 후, 생성된 예측 정보를 Drive Planning 요소에 전달하여 주행 계획 수립의 기초 자료로 활용되도록 합니다. Traffic Rules 정보는 예측 모델이 보다 합리적이고 법규를 준수하는 방향으로 작동하는 데 기여할 수 있습니다.

  • 추가적 고려사항: 인간 운전자의 행동은 때로는 비합리적이거나 예측하기 어려울 수 있으므로, 이러한 불확실성을 고려한 예측 모델 개발은 매우 도전적인 과제입니다. 이를 해결하기 위해 단기 미래 예측에 집중하고, 가능한 경우 물리 법칙에 기반한 동적 모델을 활용하며, 다른 도로 사용자들이 교통 규칙을 준수할 것이라는 합리적인 가정을 하되 예측 가능한 비준수 행동(예: 도시 지역에서의 무단 횡단)도 고려하고, 교통 체증 시와 원활한 교통 흐름 시의 다른 행동 패턴과 같이 현재 주행 상황 자체를 분류하여 예측 모델에 반영하는 등 다양한 접근 방식을 결합해야 합니다.

4.4 주행 계획 (Drive Planning)

  • 기능: 차량의 현재 위치(Localization), 주변 환경에 대한 인지 정보(Sensor Fusion), 그리고 다른 객체들의 미래 행동에 대한 예측 정보(Interpretation and Prediction)를 종합적으로 고려하여, 충돌을 회피하고 모든 적용 가능한 교통 법규(Traffic Rules)를 준수하는 안전하고 효율적인 주행 경로(trajectory) 및 행동 계획을 생성합니다. 이 과정에서는 차량의 물리적 운동 특성(Egomotion)과 현재 시스템의 작동 모드(ADS Mode Manager의 정보) 또한 중요한 제약 조건으로 작용합니다.

  • L3/L4 시스템에서의 중요성: 주행 계획은 자율주행 차량의 실제 주행 행동을 최종적으로 결정하는 핵심 요소입니다. 운전자의 개입이 없거나 제한적인 L3/L4 시스템에서는 복잡하고 예측 불가능한 실제 교통 상황을 안전하게 헤쳐나가야 하므로, 매우 정교하고 강건한 주행 계획 알고리즘이 필수적입니다. 이는 단순히 A지점에서 B지점으로 이동하는 경로를 찾는 것을 넘어, 실시간으로 변화하는 주변 상황에 맞춰 안전 거리 유지, 차선 변경, 교차로 통과, 장애물 회피 등 다양한 세부 행동들을 결정해야 함을 의미합니다.

  • 다른 요소들과의 주요 상호작용: Localization, Interpretation and Prediction, Traffic Rules, Egomotion, ADS Mode Manager로부터 다양한 정보를 입력받아 최적의 주행 계획을 수립하고, 그 결과를 Motion Control 요소에 전달하여 실제 차량 제어가 이루어지도록 합니다.

  • 추가적 고려사항: 주행 계획은 단순히 경로를 생성하는 것을 넘어, SaFAD 문서에서 언급된 바와 같이 '위험한 상황(Dangerous Situation)', '위험 시간(Dangerous Time)', '위험 임계값(Danger Threshold)', 그리고 '적절한 대응(Proper Response)'과 같은 형식화된 규칙과 개념들을 통해 안전을 적극적으로 보장하려는 시도를 포함합니다. 이는 시스템이 잠재적 위험을 사전에 인지하고, 위험이 현실화되기 전에 적절한 회피 기동이나 안전 조치를 취할 수 있도록 설계되어야 함을 의미합니다.  
     

4.5 ADS 모드 관리자 (ADS Mode Manager)

  • 기능: ADS 모드 관리자는 자율주행 시스템의 다양한 작동 모드(예: 수동 운전 모드, 자율주행 활성화 대기 모드, 정상 자율주행 모드, 성능 저하 모드, 최소 위험 조건으로의 전환 모드 등) 간의 안전하고 원활한 전환을 총괄적으로 담당합니다. 이를 위해 현재 차량이 정의된 운영 설계 도메인(ODD) 내에 있는지, 시스템의 모든 구성 요소가 정상적으로 작동하는지(Vehicle State, Monitors 정보), 운전자의 상태가 적절한지(User State Determination), 그리고 외부 환경 조건이 자율주행에 적합한지 등을 종합적으로 판단하여 모드 변경을 결정하고 실행합니다.

  • L3/L4 시스템에서의 중요성: ADS 모드 관리자는 L3/L4 자율주행 시스템의 핵심적인 '제어 타워(control tower)' 역할을 수행합니다. 시스템의 전반적인 안전 상태를 유지하고, 예기치 않은 고장이나 위험 상황 발생 시 사전에 정의된 절차에 따라 최소 위험 조건(MRC)으로 안전하게 전환하는 등 시스템의 안전을 보장하는 데 결정적인 역할을 합니다. 특히, 차량이 ODD 경계를 벗어나는 상황을 정확히 감지하고 이에 적절히 대응하는 능력은 매우 중요합니다. SaFAD 문서의 표 5는 ODD 판단 오류의 유형을 보여주는데, 실제로는 ODD를 벗어났음에도 불구하고 시스템이 ODD 내에 있다고 잘못 판단하는 경우(False Positive)는 안전에 치명적인 결과를 초래할 수 있으므로, ODD 경계 판정의 정확성과 신뢰성 확보가 무엇보다 중요합니다.  
     
  • 다른 요소들과의 주요 상호작용: Monitors (성능 및 고장 감시), Vehicle State (차량 시스템 상태), User State Determination (운전자 상태 감지), HMI (사용자 인터페이스), Drive Planning (주행 계획) 등 자율주행 시스템을 구성하는 거의 모든 요소와 긴밀하게 상호작용하며 시스템 전반의 작동 상태를 조율하고 안전 관련 결정을 내립니다.

  • 추가적 고려사항: ADS 모드 관리자의 결정은 시스템의 안전성과 가용성(availability) 사이의 미묘한 균형을 맞추는 복잡한 작업입니다. 지나치게 보수적인 모드 전환은 시스템의 가용성을 떨어뜨려 사용자 경험을 저해할 수 있는 반면, 너무 낙관적인 판단은 안전 위험을 증가시킬 수 있습니다. 따라서, 다양한 시나리오와 고장 상황에 대한 명확하고 검증된 모드 전환 로직 설계가 필수적입니다.

4.6 인간-기계 상호작용 (Human-Machine Interaction - HMI)

  • 기능: HMI는 자율주행 시스템과 사용자(운전자 또는 탑승자) 간의 정보 교환 및 조작을 위한 모든 수단을 포괄합니다. 이는 시각적 디스플레이, 청각적 알림, 촉각적 피드백 등 다양한 형태로 구현될 수 있으며, 시스템의 현재 상태, 운전자의 책임 범위, 제어권 전환 요청, 잠재적 위험 경고 등을 명확하고 직관적으로 사용자에게 전달하는 역할을 합니다. 또한, 사용자가 시스템을 활성화하거나 비활성화하고, 특정 기능을 요청하는 등의 입력을 시스템에 전달하는 통로이기도 합니다.

  • L3/L4 시스템에서의 중요성: HMI는 특히 운전자의 역할이 변화하는 L3 자율주행 시스템에서 매우 중요합니다. L3 시스템에서는 특정 조건 하에서 운전자가 운전 과제에서 주의를 분산시킬 수 있지만, 시스템이 한계에 도달하거나 예기치 않은 상황이 발생하면 운전자에게 제어권을 다시 넘겨받도록 요청(takeover request)해야 합니다. 이때 HMI는 운전자가 현재 시스템의 작동 모드와 자신의 책임을 명확히 인지하고('모드 인식(mode awareness)'), 제어권 전환 요청에 신속하고 안전하게 대응할 수 있도록 지원해야 합니다. 만약 HMI가 효과적으로 작동하지 않아 운전자가 '모드 혼동(mode confusion)'을 겪거나 제어권 전환에 실패할 경우 심각한 안전 문제로 이어질 수 있습니다. L4 시스템에서도 탑승자와의 소통(예: 목적지 설정, 비상 상황 알림)을 위해 HMI는 여전히 중요한 역할을 합니다. 또한, HMI는 사용자가 시스템의 능력과 한계를 올바르게 이해하고 적절한 신뢰도를 구축하는 데도 기여합니다.

  • 다른 요소들과의 주요 상호작용: ADS Mode Manager (시스템 모드 정보 전달), User State Determination (운전자 상태에 따른 HMI 조정), Drive Planning (예정된 경로 또는 기동 정보 표시) 등과 밀접하게 연관되어 사용자에게 필요한 정보를 적시에 제공하고, 사용자의 입력을 해당 시스템 요소로 전달하는 역할을 수행합니다.

  • 추가적 고려사항: L3/L4 자율주행 시스템에서 HMI는 단순한 정보 표시 장치를 넘어, 운전자의 상황 인지를 돕고, 책임을 명확히 하며, 적절한 행동을 유도하는 적극적인 안전 요소로서 기능해야 합니다. 미국 도로교통안전청(NHTSA)의 가이드라인은 HMI가 최소한으로 제공해야 할 정보들(예: 시스템 정상 작동 여부, 현재 ADS 모드, 사용 불가능 상태, 오작동 발생, 제어권 전환 요청 등)을 명시하고 있으며, 이는 HMI 설계의 중요한 참고 자료가 됩니다.  
     

5. 결론: 체계적인 요소 기반 접근 방식의 가치와 전망

 

SaFAD 백서 2.2장이 제시하는 '역량 구현을 위한 요소' 중심의 접근 방식은 자율주행 시스템의 '설계 기반 안전'을 구체화하는 데 있어 핵심적인 가치를 지닙니다. 추상적인 안전 목표인 '역량'을 구체적인 시스템 '요소'로 매핑하고, 이 요소들 간의 명확한 상호작용을 정의함으로써, 개발자들은 복잡한 자율주행 시스템의 안전성을 보다 체계적으로 분석하고 검증할 수 있는 틀을 갖게 됩니다. 이는 결국 시스템 전체의 안전 사례(safety case)를 견고하게 구축하는 데 필수적인 기반이 됩니다.

 

SaFAD 2.2절에서 논의된 개별 요소들은 2.3절의 '일반 논리 아키텍처(Generic Logical Architecture)'에서 통합되어 전체 시스템의 안전성을 구성하는 모습을 보여줍니다. 특히, 시스템 상태를 지속적으로 감시하는 '모니터'의 추가와, 정상 및 고장 상황을 모두 고려한 'FS/FD 역량'의 명시적 할당은 이 아키텍처를 단순한 기능적 설계를 넘어 안전 중심적 설계로 강화하는 핵심 요소입니다. 이러한 체계성은 시스템의 안전성이 개별 요소의 성능뿐 아니라 요소들 간의 유기적인 통합과 상호작용에 의해 결정된다는 근본 원칙을 반영합니다.  

 

이러한 요소 기반 접근 방식은 단순히 기술적인 지침을 넘어, 자율주행 시스템 개발에 있어 '책임 있는 혁신(responsible innovation)'을 위한 구체적인 방법론을 제시한다는 점에서 그 의의가 큽니다. 각 요소가 시스템의 안전에 어떻게 기여하는지를 명확히 함으로써, 개발자는 개발 초기 단계부터 잠재적인 위험을 식별하고 이를 완화하기 위한 설계를 수행할 수 있습니다. 이는 개발팀 내의 명확한 역할 분담과 책임 소재를 가능하게 하며, 검증 및 유효성 확인(V&V) 활동의 효율성을 크게 향상시킵니다. 궁극적으로, 이러한 상세하고 체계적인 설계 및 분석은 자율주행 시스템이 예측 불가능하고 다양한 실제 주행 환경에서도 예측 가능하고 안전하게 작동할 것이라는 신뢰를 구축하는 데 필수적이며, 이는 기술의 성공적인 상용화와 대중적 수용을 위한 중요한 전제 조건이 됩니다.

 

물론, 자율주행 기술은 여전히 빠르게 발전하고 있으며, 인공지능(AI) 기반 인지 기술의 발전, 고성능 컴퓨팅 플랫폼의 등장, V2X 통신 기술의 확산 등 새로운 기술들이 지속적으로 도입되고 있습니다. 따라서 SaFAD와 같은 프레임워크에서 정의하는 요소들과 그 상호작용 모델 또한 이러한 기술 발전에 발맞춰 지속적으로 검토되고 발전해 나가야 할 것입니다. 그럼에도 불구하고, SaFAD 2.2장이 제시하는 체계적인 요소 기반 접근 방식은 현재와 미래의 자율주행 시스템 안전 설계를 위한 견고한 기초를 제공하며, 관련 산업 표준화 노력에도 중요한 기여를 할 것으로 기대됩니다.

 

반응형