Standard for Safety for the Evaluation of Autonomous Products
UL 4600 개요: 자율주행 안전 표준
배송로봇 등 非자동차 애플리케이션에도 적용
2020년 05월호 지면기사  / 글|필 쿠프만(Phil Koopman) 박사, CTO, Edge Case Research

 


엣지 케이스 리서치(Edge Case Research)의 필 쿠프만 박사가 한국 독자를 위해 자율형 제품의 안전성을 보장하기 위한 안전 사례(Safety Case) 접근방식과 특히 자율주행차를 설명하는 UL 4600 표준 초안을 설명했다. UL 4600 표준은 자율주행차 설계자들이 설계 요소의 안전 사례를 입증할 수 있는 체크리스트를 제공한다. UL 4600은 최종 검토 과정을 거쳐 3월 말 공식 발표됐다. UL 4600의 초기 버전은 자율주행차(예: SAE 레벨 4 및 레벨 5)에 집중되어 있다. 특히, 컴포넌트 안전 사례 평가를 위해 적절한 튜닝으로 기존 차량 및 운전자지원 접근방식에 적용될 수 있도록 조정될 수 있다. UL 4600은 라스트마일 배송로봇과 非 자동차 애플리케이션 도메인과 같은 다른 유형의 자율형 제품에 유용하게 사용될 중요한 컨텐츠가 될 것이다.
 
글|필 쿠프만(Phil Koopman) 박사, CTO, Edge Case Research
역|한 상 민 기자_han@autoelectronics.co.kr

 
본지 게재를 위해 이 글은 3월 23일 업데이트됐다. 저자는 현재 초안(Draft) 표준 문서의 주요 기술 기고자다. 이 글은 저자의 개인적인 견해가 반영되어 있다. 대체로 UL 4600 초안의 궤적을 소개하기 위한 것이지만, 초안은 UL 합의 과정을 거치면서 변경될 수 있다. 이 글은 초안 작성 과정에서 광범위한 이해관계자 커뮤니티의 참여와 투명성의 정신을 바탕으로 제시된 것이다. 저자가 다른 STP(Standards Technical Panel) 회원들로부터 많은 도움을 받았지만, 그렇다고 이 문서가 반드시 UL 또는 STP 회원들의 견해를 반영하는 것은 아니다.
 



 
 
이 글은 일반적으로 자율형(autonomous) 제품의 안전성을 보장하고, 특히 자율주행차의 안전을 위한 안전 사례(safety case) 접근 방식을 설명하는 UL 4600 표준의 초안 개요를 제공한다.


왜 또 다른 표준이 필요한가?

현재 안전 표준은 안전한 차량 설계를 위한 필수 지침을 제공한다. 그러나 ISO 26262 및 ISO/PAS 21448과 같은 기존 표준은 궁극적으로 인간 운전자가 차량의 안전한 작동을 책임지는 차량을 고려해 구상됐다. 기존 표준의 경우, 일반적으로 특정 기술 요구사항 및 검증 방법의 부과와 함께 지정된 설계 프로세스를 따라 안전성을 달성한다. 위험도가 높을수록 적절한 위험 완화를 보장하기 위해 보다 엄격한 엔지니어링 요구사항이 발생한다.
하지만 자율주행차 및 기타 자율 시스템에 적용되는 기술은 이 표준 및 기타 기존 안전성 표준 범위를 넘어선다. 이런 표준도 필요하지만 충분하지는 않다. 따라서 다뤄야할 것이 더 요구된다. 이는 다음과 같다.
 
  • 복잡하고 비결정적이며 잠재적으로 예측할 수 없는 동작을 나타내는 머신러닝과 센서 융합을 포함하는 자율주행차 기술
  • 운전 책임이 있는 인간 운전자가 없는 차량의 광범위한 영향
  • 안전을 유지하기 위해 지속적인 업데이트가 필요한 환경 변화
  • 유연하지 않은 표준 접근방식을 신속하게 무효화시키는 빠른 기술 변화
  • 인정된 방식이 여전히 대두되는 새로운 기술의 안전성 보장

(이러한 영역 중 일부를 다루기 위해 범위를 확장하는 ISO/PAS 21448에 대한 개정 작업이 진행되고 있다. UL 4600은 개발에서 불필요한 중복을 피하기 위해 새로운 범위를 고려한다. 또 가용한 정보에 기초해 잠재적으로 중복될 수 있는 다른 표준화 노력도 염두에 두고 있다.)







UL 4600은 어떻게 다른가?  
 
UL 4600은 특정한 기술적 접근방식을 요구하기 보다는 유효한 안전 사례가 만들어지도록 하는 데 초점을 맞춘다.
안전 사례는 목표(goals), 논증(argumentation), 증거(evidence)의 세 가지 요소를 포함한다. 목표는 일반적인 시스템 수준의 안전 목표(예: 보행자를 치지 않음) 및 요소 안전 요구사항(예: 잠재적 과도 하드웨어 고장에도 불구하고 컴퓨팅 칩이 정확한 계산 결과의 생성을 보장)과 같은 특정한 맥락에서 안전하다는 것을 의미한다.

논증은 목표가 달성되는 이유에 대한 서면 설명(예: 차량 레벨의 논증은 시스템이 일상적이지 않거나 사물의 뒤쪽에서부터 도로로 나타나는, 물리학의 한계 내에서 적절한 방어 운전 행동을 나타내는, 보행자를 감지하고 피할 수 있는 시스템 등)이다.
증거는 일반적으로 분석, 시뮬레이션 및 테스트 결과(예: 결함 수정 실험의 결과와 결합된 오류 수정 코드의 컴퓨팅 칩 수학적 분석)를 기반으로 논증이 타당한가를 지원한다.

UL 4600의 접근 방식 핵심은 ‘목표’ 기반이면서 기술에 구애받지 않는다는 것이다. 즉, UL 4600은 특정 설계 방식이나 특정 기술의 사용을 요구하지 않으면서 자율주행차가 왜 안전한지에 대한 설명을 요구한다.
예를 들어, 라이더의 사용은 요구되지 않는다. 오히려, 안전 사례는 의도된 운행설계 범위(ODD)의 한계 내에서 설치된 센서에 관계없이 관련 물체가 성공적으로 감지되고 분류될 것임을 신뢰할 수 있도록 논증해야 한다. 마찬가지로, 보급 이전에 누적해야하는 도로 테스트 마일 수에도 정해진 제한이 없다.

오히려, 안전 사례는 초기 차량 및 각 소프트웨어 업데이트에 대해 적절한 수준의 시스템 안전을 보장하기 위해 분석, 시뮬레이션, 폐쇄 코스 테스트, 안전한 공공도로 테스트의 가능한 강력한 조합이 수행됐음이 입증돼야 한다.

UL 4600은 컴퓨터 기반 시스템의 안전을 위한 또 다른 V 사이클 기반 엔지니어링 프로세스를 만들려고 하지 않는다. 오히려 기존의 잠재적인 새로운 설계 및 검증 프로세스에서 생성 된 정보를 가져와 결과를 일관성 있는 안전 사례로 정리하는 방법을 표준화하는 역할을 한다.

이 안전 사례는 고도화된 자율주행차가 실제 배치에 안전하다는 믿을만한 증거를 제공한다. UL 4600은 ISO 26262와 ISO/PAS 21448과 같은 기존의 자동차 안전 표준과 잘 작동하도록 특별히 설계됐다. 하지만, 자율성이 다른 영역에도 채택됨에 따라 이 표준은 다른 기준과도 잘 어울릴 수 있을 정도로 일반적이다. 전체 시스템에 대한 가장 중요한 안전 사례는 기존의 안전 활동은 물론, 머신러닝과 같은 새로운 기술적 접근 방법을 검증하는데 필요한 새로운 접근 방식 모두의 적용을 취할 수 있다.

바꿔 말하면, UL 4600은 기존의 표준에서 정의된 프로세스와 기술을 사용해 수행할 수 있는 안전 엔지니어링 활동이 실제로 자율주행차 안전의 모든 기준을 포괄하도록 한다.
대부분의 표준은 시스템이 적절하게 안전한지를 결정하는데 있어 고려해야할 광범위한 아이템 리스트로 구성된다[적용할 수 없는 일부 리스트 요소는 보류될 수 있지만(waive). 요점은 디자인 팀이 합리적으로 예측할 수 있는 것을 놓치지 않도록 하는 방법에 있다].


UL 4600이 제공하는 가치  
 
자율주행차 설계팀이 UL 4600을 사용하는 주요 이유는 다음과 같다.
 
  • UL 4600은 최첨단 안전 사례 접근 방식을 지원해 안전에 대한 접근 방식을 표준화하는 동시에 빠르게 진화하는 기술, 툴 및 방법을 사용할 수 있도록 한다. 기술 중립적이며 개발 프로세스와 무관하다.
  • UL 4600은 보급 전에 안전의 필수 측면을 철저히 고려할 수 있도록 한결같은 규칙 세트를 제공한다. 여기에는 완전성, 고려해야 할 위험 등급 및 필요한 세부 수준에 대한 강력한 지침이 포함된다.
  • UL 4600은 인간 운전자와 인간 안전 감독자 없이 작동할 수 있는 고도화된 자율주행차를 위해 특별히 설계됐다(책임 있는 사람이 없다는 것은 심오한 의미이며 고장 관리, 적재/하역작업 및 다른 도로 사용자와의 사회적 상호작용과 같은 운전 과제 이외의 문제를 포함한다).
  • UL 4600은 시간이 지남에 따라 (표준을 위해) 빠르게 진화하도록 설계됐다. 특정 프로젝트 또는 회사 내 표준의 광범위한 목록은 프로젝트의 경험과 요구에 따라 확장하고 조정될 수 있다.
  • 산업 차원에서 UL은 표준을 “지속적인 유지관리”하에 계획되고 있다. 몇 개월 안에 긴급 업데이트를 하고 매년 정기적으로 업데이트 할 수 있는 메커니즘을 갖추고 있다(실제 업데이트 기간은 UL 및 STP의 재량에 따른다). 시간이 지남에 따라, 표준은 지속적인 유지보수 프로세스 과정에서 인정된 관행과 교훈을 모두 포함할 것이다.
무엇보다도 UL 4600은 산업 전반에 걸쳐 안전 정보를 공유하기 위한 핵심적인 역할을 할 수 있다. UL 4600은 유연한 유예기간 내에서 표준 업데이트로 인한 부담을 최소화하기 위해 영향 분석 및 안전 사례 구성 관리 규정을 갖고 있다.
 
  • UL 4600은 “알 수 없는” 위험을 관리하기 위해 피드백 루프를 사용한다. 알려지지 않은, 알 수 없는 위험과 함께 자율주행차가 보급될 것이란 점을 직시한다. 이 표준은 기술자들이 모든 것을 생각해낸 것(그들은 그렇게 하지 않았고, 그렇게 하지도 않을 것이다)으로 보지 않고, 불확실성에 대한 책임 있는 관리를 수용한다. 특히, 보급 후의 안전 사례에서 불확실성, 가정 및 잠재적 격차 관리를 포함하는 현장 피드백 데이터 수집 및 처리 메커니즘을 요구한다. 여기에는 소프트웨어 업데이트 및 제품의 진화와 관련된 문제 해결이 포함된다. 이러한 공개 프로세스는 항공분야에서 사용하는 공개 프로세스와 마찬가지로 커뮤니티의 도메인 지식을 지속적으로 증대시킨다.
  • UL 4600은 컴포넌트의 안전 사례에 대해 잘 정의된 인터페이스를 제공한다. 구체적인 목표는 컴포넌트 독점 정보를 보호하면서 독립적인 컴포넌트 안전 사례 평가에 대한 균일한 접근을 가능하게 하는 것이다. 그 결과 서드파티 컴포넌트를 위한 플러그인 안전 평가 모듈이 포함된 톱-투-보텀의 안전 사례가 완성된다.
  • UL 4600은 투명한 평가를 위해 설계됐다. 전체 표준은 완전성과 명확성을 보장하기 위한 평가 관점에서 작성됐다. 설계자가 유효한 안전 사례를 생산했다면, 평가 중에 예상 밖의 일은 없어야 한다.
  • UL 4600은 평가 독립성에 유연성을 제공한다. 자격을 갖춘 외부 심사자의 활용이 권장되지만, 심사자의 독립성과 능력이 신뢰할 수 있고 문서화돼 있는 한 이는 요구되지 않는다.
  • UL 4600은 잠재적인 안전 격차를 메우면서 기존의 안전 표준(ISO 26262, ISO/PAS 21448)과 조화를 이룬다(예: ISO 26262 준수에서 취한 “제어성_controllability”에 대한 모든 크레딧은 통제력을 행사할 수 있는 인간 운전자의 부재에 대해 어떤 방식으로든 조정돼야 한다).
  • UL 4600은 적절한 주요 안전 사례를 제공하면서 다른 표준 및 다른 도메인으로 개발된 컴포넌트를 사용할 수 있도록 한다.

UL 4600은 어떻게 작동하나   
 
현재 초안 표준은 300페이지에 가깝기 때문에 불완전한 요약이다. 최고 수준에서, 개발자는 기존 자동차(예: ISO 26262 준수)와 마찬가지로 다양한 안전 활동을 수행하는 것으로 시작한다.
 
자율주행 기능의 처리를 위해(예: ISO/PAS 21448 준수) 추가적인 분석 및 설계가 요구된다. 또한, 다른 안전 접근 방식도 필요할 것이다(예: 예측과 인식에 대한 머신러닝 기반 접근 방식의 효과 및 취약성을 검증하기 위해). 특별한 표준이 요구되지는 않지만, 위험 식별, 위험 분석 및 충분한 위험 완화의 필수 안전 사례 요소를 생성하기 위해 위험 식별과 같은 핵심 활동이 수행돼야만 한다.
 
이런 모든 설계 및 검증 활동은 일련의 안전 목표, 논증의 여지 및 증거를 생성한다. 그리고 이 정보는 안전 사례로 결합된다(ISO 26262에는 이미 안전 사례가 요구되지만 UL 4600은 자율주행차의 맥락에서 완전성과 유효성에 대한 안전 사례 평가 방법에 대한 세부 정보를 제공한다). UL 4600의 다양한 조항은 허용 가능한 최소 목표 범위, 논증 유효성 및 증거 신뢰성에 대한 요구사항을 제시한다.
 
무엇보다도 신뢰할 수 있는 안전 사례 구축은 UL 4600에 의해 정의된 다음과 같은 측면을 포함한다:
 
 
  • 중요한 실세계 이슈들의 설명(예: 시각 장애인, 관리 해태, 차량 컴포넌트 고장).
  • 안전 논증의 내부 일관성 보장(예: 논증을 통해 모든 위험에서 위험이 적절히 완화됐다는 충분한 증거를 추적할 수 있는가),
  • 주어진 시스템 ODD의 제약조건에서 비정상적인 운행 조건에 안전하게 대응(예: 터널에서의 화재, 사막의 비)
  • 전체 차량 수명주기 및 서플라이 체인을 고려(분무 세척 사용으로 카메라가 깨끗해질 것이라고 주장하는 경우, 저유체 센서의 고장이나 겨울철 부동액이 충분하지 않은 가능성을 설명했는가)

표준은 모든 것을 담을 수는 없지만 제공된 시작 목록은 강력하며 각 개발자와 업계 전체가 기술이 발전함에 따라 얻은 교훈을 업데이트할 수 있는 프레임워크를 제공한다. 자동차 서플라이 체인을 지원하기 위해, 부품 공급업체는 정의된 안전 사례 인터페이스를 사용해 안전 사례 단편을 생성할 수 있다. 이것은 전자부품 인터페이스가 아니라, 하드웨어나 소프트웨어의 안전 요소를 독립적으로 평가할 수 있는 일련의 기능과 가정의 집합이다.
그런 다음, 차량 수준의 안전 사례는 가정이 유효하다고 논증되는 컴포넌트의 기능을 증거로 인정할 수 있다. 컴포넌트 평가를 위한 지원은 자동차 플랫폼에 자율(autonomy) 키트를 추가 할 뿐만 아니라 서드파티 센서와 액추에이터를 통합할 때 특히 중요해질 것이다. 개발 팀은 자체적으로 예비 안전 사례 평가를 수행해야 한다(평가 기준은 표준 자체에 있다).

다음으로, 독립적인 심사자는 안전 사례가 표준을 준수하는지 확인하는 데 있어 내부 평가에서 빠진 것이 없는지 확인한다. 원칙적으로 독립적인 평가에서 예상 밖의 일이 없어야 하지만, 독립적인 견제와 균형을 갖는 것은 장기적으로 안전을 보장하는 중요한 측면이다.
독립 평가자는 외부 전문가가 될 수 있지만, 평가 보고서의 일부로 충분한 독립성과 역량이 주장되고 문서화되는 경우엔 내부 전문가가 할 수도 있다. 피드백 루프 프로세스의 일부는 심사자가 시간이 지남에 따라 표준을 개선하기 위해 배운 교훈을 적절하게 피드백할 책임이 의미다. 

UL 4600의 2019년 12월 초안에는 다음과 같은 장과 주제가 포함돼 있다. 일부 필수 주제는이 장들에서 섹션으로 포함된다(예: 컴포넌트 검증, 맵 데이터 및 사이버 보안과의 관계가 이 장에서 섹션으로 포함됨).
 
 
  • 범위(Scope)
  • 레퍼런스(References)
  • 용어와 정의(Terms and Definitions)
  • 안전 사례와 논증(Safety Case and Argumentation)
  • 위험 평가(Risk Assessment)
  • 인간, 도로사용자와 상호작용(Interacting with Human and Road Users)
  • 자율 기능, 지원 소프트웨어와 시스템 엔지니어링 프로세스(Autonomy Functions and Support Software and System Engineering Processes)
  • 신뢰성(Dependability)
  • 데이터 및 네트워킹(Data and Networking)
  • 검증, 확인 및 테스트(Verification, Validation, and Test)
  • 툴의 조건(Tool Qualification, COTS & Legacy Components)
  • 수명주기 고려사항(Lifecycle Concerns)
  • 유지보수(Maintenance)
  • 메트릭 및 안전성 성능 지수[Metrics and Safety Performance Indicators(SPIs)]
  • 평가(Assessment)

UL 4600의 높은 수준의 접근 방식에 따라, 이 장들에서는 엔지니어링 프로세스의 단계를 명시하지 않는다. 그보다는 자율주행차에 대해 잘 형성되고 신뢰할 수 있는 안전 사례가 되도록 엔지니어링 프로세스에서 작업 제품의 최소 허용 내용 및 관계에 대한 요구사항을 제시한다.
다이내믹 주행 태스크와 관련된 인적 요소는 UL 4600의 범위 밖이지만, 휴먼+자율주행 시스템의 차량 측면 안전은 범위 내에 있다. 즉, 이 표준의 스윗 스폿은 SAE 레벨 4와 레벨 5(완전 자율주행)이지만, 인간 운전자 안전성 및 운전자/머신 인터페이스 안전성을 다루는 다른 사항들과 함께 사용하는 경우엔 낮은 수준의 자율주행도 부분적으로 지원할 수 있다.

특히, UL 4600은 ▶안전 감독자 ▶인간 운전자 제어권 인수 ▶원격조작에 대한 인간/머신 인터페이스의 기계 측면을 다룬다.


그 다음은 무엇인가?
 
종합적인 초안(200 페이지 이상)은 검토 및 토론을 위해 2019년 5월에 STP(Standards Technical Panel)에 제공됐다.
STP는 궁극적으로 표준의 최종 버전의 수락 여부에 투표하는 균형 잡힌 업계의 대표기관이다. STP 멤버는 현재 전통적인 OEM, 자율주행 풀스택 프로바이더, 티어 1 서플라이어, 집적회로 제조사, 보험사, 정부 연구기관, 대학 연구소, 정부 규제 당국, 법률, 툴/시뮬레이션, 국제표준 연락 담당자, 소비자 및 서티파티 심사관 등을 포함한다. 이들은 북미, 유럽, 아시아를 포함한 전 세계 관계자들이다.
 
STP는 지난해 6월 12일부터 이틀간 초기 표준 초안과 모든 주요 이슈에 대해 논의하기 위해 실제로 만났다. 10월에는 예비 초안이 이해관계자들의 의견을 모으기 위해 공개됐다. 검토 기간 동안 미국, 오스트리아, 호주, 벨기에, 캐나다, 중국, 덴마크, 프랑스, 독일, 인도, 아일랜드, 이스라엘, 이탈리아, 일본, 노르웨이, 러시아, 스페인, 스웨덴, 싱가포르, 영국의 이해관계자로부터 많은 관심을 받았다.
 
STP는 11월에는 12월 투표용 버전 게시 전 추가 의견을 검토했다. 현재 UL 4600은 최종 검토 과정을 거치고 있으며 2020년 3월 말 발표될 예정이다.
UL 4600은 우선 ANSI/UL 표준과 국제표준의 경로를 따르도록 개발되고 있다. UL(Underwriters Laboratories)은 다른 표준기구와의 잠재적 협력 및 조정에 대한 논의에 개방적이고 적극적으로 참여하고 있다.
 
UL 4600의 초기 버전은 자율주행차(예: SAE 레벨 4 및 레벨 5 자율주행차와 이와 유사한 기능력을 갖춘 화물차)에 집중한다. 특히 컴포넌트 안전 사례의 평가를 위해 적절한 조정을 거쳐 기존 차량 및 운전자 지원 접근방식에도 적용될 수 있도록 조정될 수 있다. 기술한 바와 같이, 이는 라스트마일 배송로봇과 非자동차 애플리케이션 도메인과 같은 다른 유형의 자율주행에 유용하게 사용될 중요한 컨텐츠가 될 것이다. 시간이 경과함에 따라 UL 4600을 특정 애플리케이션 도메인에 맞춤화하는 추가적인 도메인별 표준이 작성될 수 있다.


추가 참조
Edge Case Research Resources: http://UL4600.com
Technical Webinar: https://edge-case-research.com/technical-webinar-qa/
UL official site: https://ul.org/UL4600


연관 기사
자율주행, 숨겨진 위험을 알려진 것으로
http://www.autoelectronics.co.kr/article/articleView_preview.asp?idx=3572
자율주행차 개발에 요구되는 칩-투-시티 관점
http://www.autoelectronics.co.kr/article/articleView_preview.asp?idx=3579


 



AEM_Automotive Electronics Magazine


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP