어떤 상황에서도 안전함을 증명하는 SOTIF 표준
6-06 상황이 변해도 상황을 탓만 할 수는 없다.
ASIL로 대변되는 기존의 ISO 26262는 하드웨어와 소프트웨어 모두에 적용되는 것으로써 자동차의 개발 공정 및 라이프사이클 전반에 걸쳐서 충족해야 하는 요건들이 정의되어 있다. 기본적이고 모든 전자 기능에 공통으로 적용될 수 있지만, 인간을 대체하는 자율 주행에 적용하기에는 한정적이다. 이에 자율주행 관련 기능의 성능이나 기술적 한계, 또는 잘못된 사용으로 발생할 수 있는 위험을 최소화하는지 여부를 판정하는 자동차 기능 안정성 표준, SOTIF(Safety Of The Intended Functionality)가 새롭게 제정되었다.
자율주행 자동차의 위험의 분류. 고장 나냐 나지 않느냐의 기능안전을 넘어서는 새로운 영역이 필요해졌다. 기계가 아닌 사람이 운전을 한다고 해도 갑작스레 사람이 튀어나온다거나, 급작스러운 앞차가 차선을 변경한다든가와 같은 많은 변수들이 길 위에는 존재한다. 자율 주행 시스템이 안전하려면 이 모든 변수를 미리 예측하고 방어하는 로직이 보완되어야 한다. ISO/PAS 21448에 새롭게 정의된 SOTIF는 시스템이 결함이 없는 상태에서도 외부적 요인에 의해 발생할 수 있는 위험에 대한 시스템의 안정성을 다룬다.
기존의 ASIL은 고장이 날 때 어떻게 할 것이냐면, SOTIF는 갑작스러운 외부 변화에도 대처할 만큼의 성능이 있는지를 묻는다. 예를 들면, 센서에 새똥이 떨어진다거나, 외부와의 네트워크가 끊어질 수도 있다. 차선이 흐릿하게 그려져서 인식이 불가능할 수도 있고, 운전자가 상황에 맞지 않는 기능을 강제로 구동할 수도 있다. 이렇듯 일어날 수 있는 모든 상황에 대해서도 시스템이 안전을 담보하려면, 제어 기능에 항상 위험을 대비한 여유분을 남겨 두어야 한다. 그리고 상황이 발생하면 안전을 최우선으로 주행한 후에 운전자에게 빠르게 인지시키고 통제권을 가져가도록 유도하는 일련의 과정들이 필요하다.
이를 달성하기 위해서는 기존의 소프트웨어 V 프로세스에서 설계 검토 단계에서부터 SOTIF 요인들을 고려한 확장이 필요하다. 센서에 이물이 묻으면 다른 신호로 대체 혹은 기능을 중지하고, 경고 메시지를 운전자에게 알려 닦도록 하거나 아니면 직접 세척하는 기능을 추가할 수 있다. 운전자가 무리한 요구를 하면, 바로 받아들이지 않고 경고 메시지를 통해 올바른 행동을 유도할 수도 있다. 이런 확장된 기능들이 제대로 작동하는지 검사하고 검증하는 과정은 ISO 인증을 통해 자동차의 자율주행 기능의 안전성을 증빙하는 표준이 되고 있다.
