고장이 나지 않게, 고장나도 안전하게 관리하는 ASIL
6-06 어떤 상황에도 위험원을 분석하고 위기에 대응하는지 확인한다.
아무리 좋은 기능도 항상 정상적으로 작동할 수는 없다. 어떤 이유에서건 고장이 나기 마련이다. 특히 빠른 속도로 이동하는 자동차에서의 고장은 곧 안전과 직결되는 위험 요소이다. 그래서 대부분의 자동차에 들어가는 전기 전자 부품들은 시스템이 고장이 나더라도 최소한의 안전을 확보할 수 있도록 설계되어 있는지 여부를 확인하는 자동차 안전무결성 수준, ASIL(Automotive Safety Integrity Level)을 만족하도록 관리하고 있다.
ISO26262 표준에 정의된 ASIL 레벨은 A에서 D까지 4등급으로 나뉜다. 위험도는 고장이 났을 때 사고가 얼마나 심각하게 날 수 있는지, 그리고 얼마나 자주 사용되는 장치인지, 마지막으로 고장이 났을 때 운전자가 충분히 대처할 수 있는지에 따라서 달라진다. 에어백이나 브레이크, 파워 스티어링과 같은 시스템은 가장 엄격한 ASIL-D 등급을 받아야 하고 크루즈 컨트롤은 ASIL-C, 헤드 라이트나 브레이크 라이트는 일반적으로 ASIL-B정도 수준이다.
대표적인 기능들의 ASIL 레벨. 대부분의 도움을 주는 ADAS는 B/C 수준이지만 직접적인 속도 조향에 관여된 항목들은 D레베로 타이트하게 관리한다. - SYNOPSYS 자료ASIL 등급을 받기 위해서는 지정되어 있는 기준을 만족함을 증명해야 한다. 에어백이 갑자기 터지는 심각한 고장은 발생을 막기 위해 작동 로직을 2중 3중으로 교차확인 시켜야 하고, 액셀 페달에 달린 센서는 고장이 날 경우를 대비해서 항상 두 개가 달려 있고 서로의 신호가 다르면 바로 림프홈이라는 안전 모드로 빠지도록 설계되어 있다. ASIL D 레벨로 가면, 단순히 고장 대응뿐 아니라 코딩의 안정성과 작동 관련 신호의 안정성에 대한 검증을 거치도록 되어 있다. ISO에는 이와 관련해서 설계 단계에서부터 검증하는 V-사이클을 정의해서 시스템을 설계하고 개발하는 과정 동안에 계속 검증하고 수정 보완하는 과정을 거치도록 한다.
ISO26262에 정의된 SW개발 관련 V cycle - 자동차 소프트웨어 개발의 기본 프로세스다. 자율 주행 기능이 고장 나면 안전에 심각한 영향이 있을 것이라는 것은 자명하다. 다만 기존의 ADAS 기능들은 각각이 개별적으로 작동하면서 기능의 오작동으로 인해 발생할 수 있는 위험원을 식별하고, 이에 대한 대책을 마련하기가 간단했다면 주행에 대한 제어를 총괄하는 시스템에 대해서는 위험원의 범위를 명확하게 정의하기가 쉽지 않다. 동일한 모드를 주행한다고 해도 사람처럼 그때그때 상황에 따라 대응이 달라지기 때문이다. 이런 불확실성을 극복하는 안전기준을 마련하기 위해서는 표준 상황은 구체적으로 정하되, 검증은 반복적으로 수행해서 자동차에서 나오는 대응의 변수들이 통제 가능한 수준임을 증명할 필요가 있다. 더 발전된 기능 검증 방안은 2018년이 되어서야 새로운 ISO 표준으로 추가 정의되었다.
