죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

반도체네트워크의 다양한 최신 기능을 사용하려면 이를 완전히 지원하는 최신 브라우저로 업그레이드 하셔야 합니다.
아래의 링크에서 브라우저를 업그레이드 하시기 바랍니다.

Internet Explorer 다운로드 | Chrome 다운로드

인공지능 제어 차량의 기능 안전성: ISO 26262 외의 해결책은?



글/조셉 데일리(Joseph Dailey), 글로벌 기능 안전성 관리자 (Global functional safety manager)
     멘토, 지멘스 비즈니스, 미국 아리조나 주 피닉스


표준의 간략한 역사

산업혁명이 시작된 이래로 표준은 무역 장벽을 허물어 교역에 도움이 되어왔다. 최초의 표준은 1841년에 제정된 것으로서, 나사산의 측정에 관한 것이었다. 1900년에 개최된 파리 국제 전기 의회(Paris International Electrical Congress) 기간 중에 이루어진 영국과 미국의 전기공학 전문가 협회들 간의 토의 결과 , 국제전기기술위원회(IEC: International Electrotechnical Commission)가 설립되었다. IEC의 첫 회합은 1906년 6월 26일에 개최되어 오늘날에도 여전히 운영되고 있다. 1926년에는 만국규격통일협회(ISA: International Federation of the National Standardizing Associations)가 설립되었는데, 이 협회의 활동은 주로 기계공학 분야에 집중되었다. 제 2차 세계대전 중에 ISA는 국제표준화기구(ISO: International Organization for Standardization)가 되었다.
제품 표준화는 한 국가 내의 상거래를 촉진시켰지만, 국가 간에 동일한 표준을 채택해야 한다는 법적 요건은 없었다. 표준에 대한 각국의 접근 방법의 차이는 국제 무역에 장벽을 만들었다.
제2차 세계대전 후에는 무역 장벽을 낮추거나 없앰으로써 국제 무역을 촉진시켜야 할 필요가 있었다. 그 결과, 새로 결성된 국제연합(UN)의 지원으로 1947년 10월 30일에는 23개국이 관세 및 무역에 관한 일반협정(GATT: General Agreement on Tariffs and Trade)에 서명하여 1948년 1월 1일자로 발효되었다. 1994년의 우루과이라운드 협정(Uruguay Round Agreements)에서는 세계무역기구(WTO: World Trade Organization)가 설립되어 GATT를 계승했다. 120개국 이상이 우루과이라운드에 참여해  법적 구속력이 있는 무역기술장벽(TBT) 협정을 맺었으며, WTO가 이를 관리했다.
무역기술장벽 협정의 목표는 다음과 같이 1994년도의 GATT 목표를 더욱 진전시키는 것이었다.
생산 효율성을 향상시키고 국제교역 활동을 원활하게 함으로써 국제 표준 및 적합성 평가 시스템이 이러한 측면에서 중요하게 기여할 수 있음을 확인한다 [1]
더 나아가, 이 협정의 첫 단락 중 하나에서는 인간이나 동식물의 생태나 건강 보호로 정의되는 안전성을 보장하기 위한 수단으로서 표준을 채택하는 데 대한 이론적 근거를 제시하고 있다
어떠한 나라도 수출의 질을 보장하거나 인간이나 동식물의 생태나 건강 또는 환경을 보호하거나 기만적인 관행을 예방하기 위해 필요한 조치를 취하지 못하는 일이 없어야 함을 확인한다. 이는 적절하다고 여겨지는 수준에서 이루어져야 하며, 동일 조건이 만연하거나 국제 무역에 대해 위장된 형태의 제약이 가해져 국가간에 임의적이거나 부당한 차별의 수단이 되는  방식으로 적용되어서는 안 된다는 요건을 따라야 하며, 그 밖에도 본 협정의 규정을 준수해야 한다 [1]

WTO가 결성 된 이래로 회원국들은 일반적으로 무역기술장벽 협정의 원래 의도에 따라 ISO, IEEE 및 IEC와 같은 국제 표준기구들과 함께 의무적이고 자발적인 표준 및 지침을 제정해 왔다. 현재는 전기 및 기계, 하드웨어, 소프트웨어 및 시스템, 수백 개의 다양한 애플리케이션 및 제품 부문의 제조 공정과 직업 재해에 이르기까지 모든 분야에 대한 표준이 존재한다. 이러한 표준들은 일관성과 신뢰성 같은 목표를 약화시켰지만, 특히 시스템이 점점 더 크고 복잡해짐에 따라 신뢰성 있는 제품이 안전하다는 가정이 문제가 되었다. 
1990년대에 IEC는 기능 안전성에 대한 개념을 갖춘 엔지니어들의 협회를 결성하기 위해 하드웨어 및 소프트웨어 기반 시스템 개발 프로세스에 대한 포괄적인 연구를 이끌었다. 그 목표는 표준을 제공하여 하드웨어 및 소프트웨어 개발자들이 자사 시스템의 안전성을 주장할 수 있도록 하는 것이었다.  이러한 연구 결과, IEC 1508이 공개되었다. 이는 대중의 여론을 수렴하고 수년간의 추가 개정을 거친 후에 1998년에 세계 최초의 기능안전 표준인 IEC 61508이 되었다. 이 표준의 마지막 네 부분은 2000년에 공개되었다. IEC 61508로 인해 자동차(ISO 26262), 철도 소프트웨어(IEC 62279), 공정 산업(IEC 61511), 원자력 발전소(IEC 61513), 기계류(IEC 62061) 등의 다양한 산업 분야에서도 유사한 표준들이 제정되었다.
ISO 26262는 ISO와 자동차 엔지니어 협회(SAE)의 공동 노력의 산물로서, 최대 총 중량이 3,500 킬로그램인 승용차 내의 (E/E) 시스템을 다룬다. 비록 그 역사는 십 년도 채 안되지만, ISO 26262는 오늘날의 자동차 산업에 있어서 가장 중요한 표준 중 하나가 되었다. E/E 기능 안전성의 진화는 끝난 것이 아니다. ISO 26262위원회는 다음 개정판 작성 작업을 재개했으며, 이는 2018 년 3 /4분기에 선보일 예정이다. 이 개정판에는 오토바이가 추가되며, 어떠한 무게 제한도 없이 트럭과 버스도 다룬다. 이제 유일한 제외 항목은 모페드(모터 장착 자전거) 뿐이다.
우리의 심의는 부득이하게 비공개적으로 이루어질 수 밖에 없지만,  업데이트 작업에 참여하고 있는 위원회의 일원으로서 말할 수 있는 점은 우리가 표준에 대한 전형적인 규범적 접근방법으로 인해 어려움을 겪고 있다는 사실이다. 이는 다가오는 혁명에서 갈수록 더 강력해지고 있는 첨단 운전자 보조 시스템(ADAS) 기술과 자율주행 차량을 다루는 데는 의미가 없다. 그 결과, 자율주행 자동차의 기능 안전성(SOTIF: Safety Of The Intended Functionality)을 다루기 위해 새로운 단체가 결성되었다. 우리의 갖은 노력에도 불구하고, ADAS 및 자율주행 시스템의 표준화 문제는 여전히 논쟁의 여지를 갖고 있다. 가능한 모든 주행 시나리오를 파악하고 관련된 규범적 표준을 작성한 뒤 해당 표준을 검증해야 한다는 과제를 해결해야 하기 때문이다.

인공지능(AI)의 부상에 따르는 질문들

자율주행 자동차의 성과는 머신러닝과 인공지능(AI)에 크게 의존하는데, 어떻게 이를 표준화할 수 있을까? 표준 위원회가 안전하지 못한 조건과 발생 가능한 인공지능 기반의 반응들을 모두 고려해 넣으려면 어떻게 해야 할까? 오늘날 ISO는 차량에서의 ADAS와 인공지능의 확산을 해결하기 위한 새로운 표준인 ISO/WD PAS 21448과 씨름하고 있다 [2]. ADAS/인공지능에서 기능 안전성의 기본적인 목표는 언제나 똑같다. 즉, 결함이 없을 경우 기술적인 단점과 시스템 단점 그리고 합리적으로 예측 가능한 오용으로 인해 의도되지 않은 시스템 동작이 발생하는 것을 피하는 것이다. 하지만 자율주행 시스템이 이러한 목표에 맞는 기술로 구축된다고 해도 그것이 과연 운전자와 공공의 안전을 보장해줄까? 아니면 ‘예측 가능한’과 같은 용어는 안전성이란 것이 항상 상대적인 개념일 수 밖에 없음을 강조하고 있는 것일까? 어쩌면 적절한 목표는 단지 이전보다는 안전함을 추구하는 것일 수도 있다. 또는 엘론 머스크나 그 밖의 인공지능 지지자들의 말대로 형편 없는 운전으로 악명높은 운전자들보다는 안전해지는 것일 지도 모른다. 로봇 자동차가 일으키게 될 전혀 예기치 못했던 사고를 사회가 결국에는 수용하게 될까? 모든 표준이 갖는 문제는 실제 상황이 예측 가능한 사건들로만 국한되는 일은 절대로 없다는 점이다. 따라서 앞으로 제정될 ADAS 및 자율주행 표준에 결핍되어 있어 개선 노력이 요구되는 부분은 기능 안전성(SOTIF)을 어떻게 하면 실제로 사회에 수용될 수 있을 정도로 안전하게 만드느냐 하는 것이다. 기저 기술에 대한 기본적인 사실을 고려할 때 합리적으로 다룰 수 있는 것은 이러한 기능 안전성 뿐이다.
그러면 이제 일반적인 ADAS 기술과 인공지능 기술 몇 가지를 살펴보자.

ADAS와 인공지능

운전대를 잡고 있는 것이 알고리즘이든 청소년이든 운전은 학습된 행동임을 상기하는 것이 도움이 된다. 운전할 때는 거리를 유지하면서 앞차의 뒷바퀴를 항상 볼 수 있어야 한다고 필자의 아버지께서 하셨던 말씀이 생각난다. 그것도 좋은 가르침이지만, 모든 사람들은 예컨대 고속도로의 교통 흐름 속으로 흘러들어가는 경우처럼 운전하면서 맞닥뜨린 실제 경험을 통해 배운다. 그리고는 상황을 신속하게 판단하는 두뇌의 엄청난 능력을 이용해 가장 안전성이 높을 듯한 결과를 결정한 뒤 최종적으로 그러한 결과를 달성하기 위한 행동을 취한다.

SR(Mentor)-1.jpg
[그림 1] 합성곱 신경망(CNN)이 사자와 호랑이를 구별하는 방법. 보다 상세한 설명은 페이스북의 소프트웨어 엔지니어인 샤핀 테자니(Shafeen Tejani) 씨의 블로그 포스트 http://bit.ly/2EPuPA7에서 확인할 수 있다. (이미지 출처: Shafeen Tejani)

하지만 노련한 운전자 조차도 한 번도 본 적이 없거나 예상치 못했던 상황에 맞닥뜨리게 마련이다. 이러한 상황에 신속하게 반응하지 않으면 안 된다. 도로 상에 있는 동물을 피하기 위해 브레이크를 밟아본 적이 있는가? 그때 뒤를 돌아본 적이 있는가? 아니면 뒤로부터 받힌 적이 있는가? 방향을 휙 틀었는가? 도로를 막고 있는 트럭으로 돌진하지는 않았는가? 이를 피해가기 위해 월선 금지선을 넘는 불법을 행하지는 않았는가? 도로 및 기상 상태, 운전자의 실수나 오용 또는 불가항력적인 사고를 비롯한 모든 상황을 고려하고자 시도할 경우 주행 규칙 목록은 방대해지고 말 것이다. 게다가 이마저도 필연적으로 불완전할 수 밖에 없다. 따라서 인간의 경우이든 컴퓨터의 경우이든 유일한 접근방법은 차량 주변의 환경을 ‘보거나’ ‘감지’하여 안전 가능성이 가장 높은 결과를 예측한 뒤 행동을 취하는 것이다. 인공지능이 개별 ADAS 기술과 전체 자율주행 시스템에서 이같은 예측을 수행하는 능력은 점점 더 향상되고 있다.

(1)인공지능의 역사
오늘날 대중매체의 인기 주제가 된 인공지능은 1950년대부터 등장했으며, 일반적으로 사람이 수행하는 지능적인 임무를 수행할 수 있는 기계를 가리킨다. 지능을 구성하는 기준에는 추론하고, 지식을 표현하며, 계획하고, 학습하고, 의사소통을 수행하며, 이러한 기술들을 통합하여 공통의 목표를 달성할 수 있는 능력이 포함된다.
인공지능은 지난 수년간 발전해왔다. 머신러닝은 1980년대에 지도학습(supervised learning) 기법으로 시작되었다. 이 기법은 이미 알려져 있는 데이터 구조를 이용해 의사결정을 내린다. 많은 사람들이 경험한 그 최초의 사례 중에는 이메일 규칙, 경보 및 스팸 필터가 포함된다. 이러한 규칙들에 의해 특정 단어나 웹사이트, 주소 또는 그 밖의 이미 알려져 있는 정보를 인식하고, 의심이 가는 이메일들을 특정 폴더에 저장합니다. 사용자는 새로운 뭔가를 확인해 의심 항목 목록에추가하거나 메시지가 실수로 플래깅 되도록 만드는 특정 데이터를 마킹함으로써 이러한 규칙을 변경하고 개선할 수 있었다. (물론 구글은 자신들의 이메일 서비스 전반에 딥러닝 인공지능을 적용하고 있어 수작업에 의한 유지관리는 대부분 불필요해졌다. 적어도 세계 최대의 이메일 서비스인 지메일에 관한 한은 그렇다.)
그 다음에 등장한 것이 자율학습(unsupervised learning)  기법으로서, 이는 알려지지 않은 데이터 세트를 이용하고 확률을 기반으로 행동을 결정했다. 이러한 작업은 이상치 검출 알고리즘이나 회귀 분석에 사용되었다. 머신은 점점 더 영리해져 의사결정 프로세스를 이전의 결과와 확률을 이용해 강화해나갔다. 2010년대에는 첨단 신경망은 딥러닝 기술의 놀라운 없적을 만들어냈다. 구글의 인공지능이 세계 최고의 바둑명인 중 한 명을 이긴 것이 바로 그러한 사례이다.
하지만 인공지능이 사람에 가까운 수준의 지능적인 행동으로 어떠한 문제라도 해결할 수 있는 능력을 갖추게 되는 것은 아직도 먼 미래의 일이며, 어쩌면 영원히 공상과학의 영역에 머물지도 모른다. 그러나 갈수록 뛰어난 자율주행 능력을 갖는 차량이 현재 구현되고 있으므로 표준 위원회에 주어진 문제는 어떻게 하면 인공지능을 단지 돈 많은 대기업 뿐만 아니라 업계에서도 실행 가능하도록 만드느냐 하는 것이다. 그러기 위해서는 인공지능이 어떻게 그같은 동작을 할 수 있는 지 적어도 피상적인 수준으로나마 알아야 한다.
 
(2)딥러닝
딥러닝에는 특징 학습(feature learning)과 입력사항 분류를 위해 여러 계층의 비선형적인 처리장치가 사용된다. 각 계층은 관리제어 하에 학습이 이루어지며, 일단 학습이 이루어지고 나면 자율 상태에 놓이게 된다. 이러한 학습 기술은 자연언어 처리, 컴퓨터 비전, 언어 인식, 음성 인식 및 소셜 네트워크 필터링 분야에 성공적인 것으로 입증되었다.
딥러닝 기법은 인공 신경망(ANN)과 심층 신경망(DNN)으로 구성된다. 인공 신경망과 심층 신경망은 두뇌의 신경회로에서 영향을 받는 시스템으로서, 이러한 시스템은 뚜렷한 행동들을 올바르게 수행할 경우 보상 받는 사례를 축적함으로써 과제 수행 능력을 점진적으로 개선해나간다. 심층 신경망은 복잡한 비선형적 관계를 모델화 할 수 있는 숨겨진 계층을 이용한다.
이 기법의 문제점은 패턴을 맞춤으로써 결과를 결정한다는 것이다. 만일 해당 패턴이 제공되는 모든 데이터와 맞지 않을 경우, 이 같은 심층 신경망을 기반으로 하는 시스템은 잘못된 결정을 내릴 가능성이 높다. 또한 이러한 시스템은 상당한 연산 성능을 필요로 한다. 이는 마진이 비교적 낮은 자동차 산업과 같이 경쟁이 치열한 시장에서는 큰 비용일 수 있다.

(3)심화강화학습
심화강화 학습(DRL)은 또 다른 유형의 머신러닝 알고리즘이다. 이 기법은 경험을 이용해 이상적인 행동을 결정한다. 누적보상 학습 방식은 보상 대신에 처벌(Punishment)과 고통(Pain)에 해당하는 것을 Q 값이라고 부르는 것으로 분류한다. 그리고는 입력값으로부터 예측할 때 이를 최적화하고자 시도한다. 심화강화 학습 방식도 마찬가지로 예제로부터 학습하여 새롭고 갈수록 더 정교한 모델을 생성해낸다. (이미지를 시각적으로 분석하기 위한 DRL 시스템은 이른바 합성곱 신경망(CNN: Convolutional Neural Network)을 기반으로 하는 경우가 많다. 이것은 운전자의 관점에서 세상을 감지하고 행동하는 ADAS 기술을 개발하는 데 특히 유용한 것으로 입증되었다.)

(4)인지 컴퓨팅
인지 컴퓨팅은 컴퓨팅 시스템이 인간의 사고 프로세스를 시뮬레이트하는 기법이다. 전형적인 인공지능 시스템은 복잡한 알고리즘에 따라 문제를 해결하는 반면에, 인지 컴퓨팅은 항상 사람들과 상호작용하고 있는 매우 사회적인 인간의 두뇌를 모방하고자 시도한다. 그것이 승객이든 혹은 다른 운전자나 보행자이든 상관 없다.
인공지능, 딥러닝, 강화 학습 및 인지 컴퓨팅이 자동차라는 맥락 안에서 한데 적용될 수 있다면 그 잠재력은 엄청난 것이다. 하지만 한 가지 사실이 표준 위원회에 있어서 여전히 문제로 남는다. 인공지능의 행동은 결정론적이고 정규화된 모델을 따르지 않는다는 점이다. 다시 말해, 인공지능 기반의 행동은 시스템의 입력, 파라미터, 초기 조건 또는 규정된 규칙과 직접적인 연관이 없다. 표준적인 반응을 정의할 방법이 전혀 없는 것이다. 이제는 대부분의 행동이 확률적 모델을 기반으로 하며 이전의 행동과 결과를 통해 강화되기 때문이다.
규칙을 제정하는 위원회가 앞으로 나아갈 수 있는 길은 아마도 그 자체가 이 세상에서 우리가 생각하고 행동하는 방식에 적응하는 표준을 작성하는 일일 것이다. 하지만 이는 인간의 두뇌 속에서 이루어지는 프로세스를 정의하는 것과 유사하므로 어쩌면 불가능한 과제일지도 모른다. (물론 위원회는 일반적으로 신경과학자가 아니라 엔지니어들로 가득차 있다.) 우리는 인공지능의 진화 방식에 맞는 지침을 제공해야 한다. 자율주행 자동차가 특정 상황에서 축적된 이전의 지식을 이용해 행동을 결정하는 일은 갈수록 더 늘어날 것이기 때문이다. 즉, 자동차는 스스로를 학습시킬 것이며, 우리가 올바른 지침을 제공하는 한 우리의 집단적 안전은 향상될 것이다. 자동차가 이처럼 학습한 바를 실세계에서의 새로운 행동으로 전달할 것이기 때문이다.

규제기관, 입법자 및 표준기구의 현재 대응

인공지능이 부상한다고 해서 기존의 표준 체제가 필요없어지는 것은 아니다. 이들은 지원 프로세스, 하드웨어 및 소프트웨어 개발을 위해 동일하게 유지될 것이다. 그러나 장애물이 다가오고 있다. 바로 기능 안전성(SOTIF)의 개념을 다루는 일로서, 이는 특히 ADAS 및 자율주행 애플리케이션과 관련이 있다. 공급망 전반의 엔지니어링 팀들은 특히 비교적 소규모 기업일 경우 인공지능 분야의 첨단 개념을 포함하여 최첨단 개발 주기의 수행 방법에 대한 지침을 모색할 것이다.
ISO 26262 위원회가 새로운 SOTIF 표준인 ISO/PAS 21448을 가지고 씨름하고 있듯이, 미국 고속도로 교통안전청(NHTSA: National Highway and Transportation Safety Administration)과 같은 조직들도 이와 유사하게 자율주행이 제기하는 새로운 문제의 해결에 나서고 있다. 2017년 9월 12일에 NHTSA는 자율주행 시스템에 대한 새로운 연방 지침인 안전성 2.0의 비전(A Vision for Safety 2.0)을 발표했다. 여기에는 “이 프로세스는 자율주행 시스템(ADS)의 고장을 다루기 위한 설계 중복성 및 안전성 전략을 기술해야 한다”는 규범적 진술이 포함되어 있다.[3] 그러나 이러한 중복성과 전략을 어떻게 결정해야 하는 지에 대한 지침은 없이 ISO 26262를 언급하고 있다.
NHTSA가 발행한 내용은 규제성이 없다. 자율주행 3단계~5단계의 자율주행 안전성 요소들을 대상으로 하며, 소프트웨어 개발, 검증 및 인증을 크게 강조하고 있다. 또한 ADS 안전성 요소에 대한 지침도 제공한다. 이러한 요소들에는 시스템 안전성, 운용설계 분야(도로 유형, 지리적 영역, 속도 범위 및 기타 제약사항), 물체 및 사건의 탐지와 반응(충돌회피 능력), 비상대처(fallback) 또는 최소위험 상태, 인증 방법 및 사이버 보안이 망라된다. 이 문서가 자체평가 수단을 제공하기는 하지만 법적 요구 사항을 의미하진 않는다.
미국에서는 NHTSA 지침 외에도 자율주행에 대한 법안 통과가 주의회와 주지사 사무실에서 분명하게 탄력이 붙고 있다. 네바다 주가 2011년에 최초로 자율주행 자동차를 인가한 이래로 20개 주가 더 자율주행 차량에 관한 유사한 법률을 통과시켰다. 최소한 12개 이상의 주가 이 주제에 대한 법률을 도입했으며, 5개주의 주지사는 입법 과정을 아예 무시한 채 자율주행 차량 관련 행정명령을 내렸다.[4]
국제적인 상황도 그 못지 않게 무차별적이다. 해당 법규는 나라마다 다르지만, 일반적으로는 흔히 비엔나 도로교통 협약(Vienna Convention on Road Traffic)으로 알려져 있는 유엔 유럽경제위원회(U.N. Economic Commission for Europe)  도로교통협약을 기반으로 하고 있다. 1968년 11월의 글로벌 도로교통안전 포럼(Global Forum for Road Traffic Safety)에서 처음 합의된 이 협약은 36개국이 서명했으며, 유럽 대부분, 미주 일부, 아시아, 중동, 아프리카, 러시아 및 인도네시아를 비롯한 75개 당사자들의 비준을 받았다. 이 협약에 참여하지 않은 주요 국가로는 미국, 캐나다, 중국, 일본, 호주 및 인도가 있다.
2016년 3월에 UNECE는 자율주행차 기술의 배치를 지향하는 이정표적인 법규를 1968년도 법규 개정안과 함께 통과시켰다. 이로써 운전의 책임을 주행중의 차량으로 넘길 수 있는 자율주행 기술이 허용되었다. 단, 이러한 기술들을 운전자가 무효화하거나 끌 수 있어야 한다. 이 개정안에는 차선이탈 경고 시스템, 무인주차 또는 고속도로 자율주행과 같이 운전자의 영구적인 감독 하에 차량 제어권을 떠맡는 자기조향 장치에 대한 논의가 포함되어 있다.
이 같은 혼란에도 불구하고 ‘안전성’ 달성이 무엇을 의미하는지에 대해 뚜렷하게 초점을 맞추지 못하고 있다. 해당 법규에서는 어떤 차량을 어떻게 테스트해야 하며, 이러한 테스트는 누가 수행해야 하는 지, 그리고 심지어는 테스트 시의 도로 및 환경 조건에 대해서까지 상세하게 기술하고 있다. 캘리포니아 주 상원법안 1298호는 안전성에 대해 애매모호한 방식으로 언급한다는 점에서 다른 법률 대부분을 대표한다. 이 법안이 지향하는 목표는 “... 주에서 자율주행 차량의 테스트와 운영이 안전한 방식으로 수행되도록 하기 위한 적절한 법규를 [제정하는] 것이다.”  필요할 경우 운전자가 통제권을 넘겨받을 수 있어야 한다는 점 말고는 ‘안전한 방식’의 정의에 대한 지침이 거의 제공되고 있지 않다. 이 법률에 따르면, “자율주행 차량은 운전자가 아무런 제한 없이 브레이크, 가속 페달 또는 운전대 등을 이용해 여러 가지 방식으로 제어할 수 있도록 허용해야 하며, 자율주행 기술이 해제되었음을 운전자에게 알려야 한다.” [5]
이러한 지침은 여러 수준에서 문제가 된다. 운전자는 동적인 운전 작업에 대해 비상대처할 수 있어야 하는데, 그러기 위해서는 운전자가 안전하지 못한 모든 상황을 인식하고 필요할 경우 안전한 상태로 복구시킬 수 있어야 한다는 상정이 따른다. 이미 사고 중 상당수가 주의산만한 운전자로 인해 발생하고 있다. 이들은 위기 상황에 직면했을 때 이를 통제할 준비가 안 되어 있을 가능성이 높으며, 그 같은 운전자의 수는 전반적인 운전 경험과 삶의 더 많은 부분이 기술을 매개체로 함에 따라 늘어날 것으로 보인다. 보다 명백한 문제는 인간이 비상대처안이 되는 옵션은 3 단계 이하에만 적용된다는 점이다. 해당 문구에는 시스템 자체가 ‘비상대처’ 옵션이 되는 완전 자율주행 4단계  및 5단계의 차량은  포함되지 않는 것으로 보인다.

강력도(BRUTE FORCE) 테스트의 한계

안전한 자율주행 시스템을 제공하기 위한 또 다른 해결책은 많은 테스트를 거치는 것이다. Waymo(구글에서 분사된 독립 자회사)사가 그 대표적인 예로서, 미국의 4 개 도시에서 자율주행 테스트 차량들로 매주 약 25,000 마일 정도를 시험주행하여 로깅하고 있다. 이러한 테스트는 매우 중요해서, 실제 도로 주행과 시뮬레이션이 모두 요구된다. 실제 테스트 분야의 선도업체인 Waymo사는  2016 년 한 해에만도 10억 마일에 달하는 도로주행 시뮬레이션까지 수행했다. (Tass International, 지멘스 비즈니스는 다양한 자율주행 시뮬레이션 및 검증 솔루션을 제공하며, 여기에는 교통 및 도로 환경을 시뮬레이션하기 위한 PreScan이라는 플랫폼과, 다양한 센서 및 통신 시스템의 루프 테스트 하드웨어에 대한 지원이 포함된다.)
그러나 아무리 자본이 풍부하고 기술이 훌륭하다 해도 테스트는 늘 고유의 한계에 시달릴 수 밖에 없다. 가장 명백한 한계는 모든 경계조건(edge cases)을 테스트하기가 어렵다는 것이다. 일반 도로와 가상 도로에서 수백만 마일 또는 수십억 마일을 시험주행한 후에도 예기치 않은 일련의 입력사항에 직면할 경우 자율주행 시스템은 여전히 안전하지 못한 방식으로 반응할 수 있다. (물론 운전에는 기술을 매개체로 하는 모든 인간 활동이 그렇듯이 항상 예기치 않은 입력사항이 수반된다.)
이와 관련된 두 번째 문제는 자율주행 시의 의사결정 측면에서 무엇이 옳은 것인지를 결정하는 것이다. 로봇 자동차가 내리는 결정은 항상 그 정확성의 정도로만 측정할 수 있다. 어느 정도의 정확성이 충분한 지는 누가 결정할까? 이 자동차가 도로에서 무언가에 부딪힌다면 그 물체를 치고 지나가야 할까? 아니면 후방 충돌의 위험을 무릅쓰고라도 일단 멈춰야 할까? 혹은 방향을 휙 틀어야 할까? 이중 황색선을 넘게 되더라도? 아니면 보다 단순한 결과를 허용해야 할까? 즉, 자율주행 차량이 상황에 반응한 결과 사상자가 나오지 않는다면 테스트를 “통과”한 것으로 하는 것이다. 기능안전성 분야에서는 해당 시스템이 안전하다는 확신을 쌓기 위한 테스트와 증거 수집에 많은 주의를 기울인다. 하지만 그러한 확신이 확연히 구별되는 결과가 아니라 확률이나 정확성의 정도와 연관될 경우 이 같은 개념은 불분명해지고 만다.
단 하나 확실한 점은 시뮬레이션과 실험실 테스트 및 실제 테스트의 조합이 유일하게 실용적인 방법이라는 것이다. 따라서 이러한 방법들을 정규화하거나 표준화하는 것이 위원회의 몫이다.

책임 및 보험

모든 표준 위원회의 작업에는 책임 문제라는 그늘이 드리워져 있다. 자율주행 차량의 결정론적 요건이 발표되고 개발자가 그 표준을 매우 엄격하게 준수했는데도 여전히 사고가 발생한다면 그 책임은 누가 져야 할까?
물론 표준은 일반적으로 법적 구속력을 갖지는 않지만, 법원에서는 종종 이를 이용해 법적 분쟁을 해결한다. 제조물 책임 사건의 경우에는 특히 그렇다. 사고에 대한 책임은 반드시 운전자와 보험 회사로부터 자동차 제조업체, 그리고 자동차 공급망에서 갈수록 그 존재감이 두드러지고 있는 기술 공급업체로 옮겨갈 것이다. (사례: 캘리포니아 주는 최근에 예정되어 있던 규정 하나를 폐기했다. 이 규정이 통과되었더라면 자율주행 자동차가 사양대로 유지관리 되지 않은 것으로 판명될 경우 충돌사고가 발생해도 자동차 제조업체는 책임을 면하게 되었을 것이다. 즉, 가벼운 사고를 일으킨 자동차의 센서가 진창으로 인해 흐려져 있었다면, 사고의 실제 원인이 엉성하게 작성된 코드 때문이라 해도 해당 자동차 제조업체는 책임을 면할 수도 있다는 것이다. 물론 규제기관에서는 결코 그럴 일은 없다고 부인했다.) 표준 위원회는 대부분 자동차 제조업체와 이들의 하드웨어/소프트웨어 공급업체들로 구성되어 있기 때문에 사고에 대한 책임소재를 따지는 방법에 있어서 이러한 구조상의 변화를 가속시키고 싶지 않을 것이다. 아직 일관성 있는 국가 규정이 없다시피 한 환경에서는 특히 그렇다.
가장 합리적인 방법은 이들 위원회가 그 같은 프로세스의 역사적 재구성을 포함하여 V-사이클 개발 프로세스에 대한 요건을 제공하는 것이다. 사실 이것은 ISO 26262에서 이미 요구되고 있다. 그러나 자율주행 아키텍처와 인공지능의 개발에 관한 한 위원회는 단지 진행중인 운영 파라미터, 알고리즘 이용 사례 그리고 안전하지 못한 상황에 이르도록 만드는 결과에 대한 확률 기반의 평가를 상술하는 정보나 지침을 제공하기만 하면 된다. 

자율주행 표준의 현재와 미래
희소식은 프로세스와 하드웨어/소프트웨어 개발을 위한 강력한 표준, 그 중에서도 특히 ISO 26262가 있다는 것이다. 또한 자율주행 자동차의 실제 테스트에 관한 지침과 법률을 발표하는 각국 정부들이 갈수록 늘어나고 있어, 이제까지 불모지나 다름없던 규제 환경이 서서히 명확해지거나 적어도 관련 내용으로 채워져 나가고 있다.
그러나 인공지능의 개발은 안전한 자율주행 애플리케이션을 실현하는 입력사항과 파라미터 및 논리적 경로를 입증하는 데 주력하기보다는 갈수록 더 비결정론적인 애플리케이션을 지향하고 있기 때문에 처음부터 인공지능 개발 프로세스의 안전성을 입증한 뒤 자율주행 차량이 공공 도로에서 결정을 내려 실수를 저지를 경우의 궁극적인 결과로 초점을 옮겨가야 한다, 안전성이라는 개념을 둘러싼 모든 예상 밖의 변화를 감안할 때 이는 결코 쉽지 않은 일이 될 것이다. 안전성은 근본적으로 자유 및 자유 의지와 상충하는 경우가 많다고 철학자들은 말한다. 
지금으로서는 곧 선보이게 될 ISO/PAS 21448과 같은 표준이 우리 업계가 내놓을 수 있는 최상의 지침일 가능성이 높다. 이 지침 자체는 인공지능의 비 결정론적 특성에 적합하겠지만, 적어도 어느 정도의 정규화와 정보를 제공할 것이다. 필자가 종사하고 있는 위원회의 위원들은 인상적인 ADS 분야의 기술 전문지식을 폭 넓게 갖추고 있다. 그 밖의 여러 가지 결과 중에서도 기대할 수 있는 것은, 이 표준이 필요해 마지않던 공통의 어휘를 제공하여 우리 모두가 자율주행의 안전성에 대해 효과적으로 의사소통을 시작할 수 있게 되리라는 것이다. 또한 이 표준은 다소 불투명한 문제에 대해서도 지침을 제공할 것임이 분명하다. 이미 알려져 있거나 아직 알려져 있지 않은 이용 사례를 고려하는 방법, 종속성, 대응책의 한계, 자동화 권한 및 경고 전략 등이 그러한 예들이다. 검증과 인증처럼 보다 일반적인 주제에 대한 정보도 제공될 것이다.

결론

백여 년 전 나사산을 균일하게 만들기 위한 노력의 일환으로 시작된 표준은 기업과 국가 간의 무역 장벽을 허물어 상거래를 촉진시켰다. 기존의 ISO 26262와 머지 않아 선보일 ISO/PAS 21448 표준도 이와 다를 것이 없다. 그러나 제품은 물론 설계 흐름 자체까지도 보다 자율적이고 비 결정론적이 됨에 따라 표준 위원회는 확률에 의해 결정되는 결과를 위해 힘써야 할 것이다.
표준기구와 사회 전반은 자율주행 차량의 미래에도 안전하지 못한 상황과 사고, 부상 및 사망이 따를 것이라는 현실을 받아 들여야 한다. 기능 안전성의 목표는 이러한 사고를 없애는 것이 아니다. 이러한 사고는 항상 발생하게 마련이기 때문이다. 그보다는 그러한 사고 발생 가능성을 제한하는 것을 목표로 해야 한다.
보다 중요한 것은, 요즘처럼 온갖 지표를 측정하고 최적화하는 시대에 안전하지 못한 상황이 발생할 가능성을 오늘날보다 크게 낮출 수 있는가 하는 것이다. 그에 대한 대답은 ‘물론이다!’  로봇 자동차가 정확히 어떻게 결정을 내리게 될 것인지 정확히 기술하기란 어려운 일이다. 그럼에도 불구하고, ISO 26262와 곧 선보이게 될 ISO의 SOTIF 작업과 같은 표준화 노력들은 이러한 자율주행 자동차의 이용이 확산되는 추세 속에서 어느 정도의 안전성이 충분한 것인지 결정하는 방법에 대해 절실하게 필요한 지침을 제공하고 있다.
이는 누가 뭐라 해도 훌륭한 결과임에 틀림없다.

참고 문헌
[1]  “Agreement on Technical Barriers to Trade,” accessed January 2018, http://bit.ly/2FIDA0n.
[2] ISO/WD PAS 21448, "Road vehicles -- Safety of the intended functionality," ISO Standards Catalogue, www.iso.org/standard/70939.html.
[3] "Automated Driving Systems 2.0: A Vision for Safety," NHTSA, accessed January 2018, www.nhtsa.gov/manufacturers/automated-driving-systems.
[4] "Autonomous Vehicles | Self-Driving Vehicles Enacted Legislation," National Conference of State Legislatures (NCSL), accessed January 2018, http://bit.ly/2ELZ4YI.
[5] California SB-1298, "Vehicles: autonomous vehicles: safety and performance requirements, (2011-2012), http://bit.ly/2EPXDc1.
추가 참고문헌
[1] Robert Bates, “Is it Possible to Know How Safe We Are in a World of Autonomous Cars,” 2017 Mentor Graphics whitepaper, http://go.mentor.com/4VxbP.
[2] A. G. Foord and W. G. Gulland, 4-Sight Consulting, UK; C. R. Howard, Istech Consulting Ltd, UK, "Ten Years of IEC 61508; Has It Made Any Difference?" IChemE Symposium Series No. 156, 2011, http://bit.ly/2FIGBxD.
[3] "An Introduction to Functional Safety and IEC 61508," MTL Instruments Group plc, 2002, http://bit.ly/2FKpj3a.
[4] "Global status report on road safety," World Health Organization, updated July 2017, http://bit.ly/2FLmcb4

leekh@seminet.co.kr
(끝)
<저작권자(c) 반도체네트워크, 무단 전재-재배포 금지>

X


PDF 다운로드

개인정보보호법 제15조에 의한 수집/이용 동의 규정과 관련하여 아래와 같이 PDF 다운로드를 위한 개인정보 수집 및 이용에 동의하십니까? 동의를 거부할 수 있으며, 동의 거부 시 다운로드 하실 수 없습니다.

이메일을 입력하면,
(1) 신규참여자 : 성명/전화번호/회사명/분야를 입력할 수 있는 입력란이 나타납니다.
(2) 기참여자 : 이메일 입력만으로 다운로드가 가능합니다.

×

회원 정보 수정