SOTIF란 무엇입니까?

SOTIF(Safety of the Intended Functionality)는 첨단 운전자 지원 시스템(ADAS) 및 자율주행 시스템(ADS) 응용 분야를 위해 개발된 안전 접근 방식으로, 시스템 고장이 없는 상황에서도 센서 및 알고리즘의 안전을 다룹니다. 

첨단 운전자 보조 시스템과 모든 수준의 자율주행 시스템이 등장함에 따라, 의도된 기능의 기능적 불충분이나 사람이 합리적으로 예측할 수 있는 오용으로 인해 발생하는 위험으로 인한 "불합리한 위험의 부재"를 보장하는 방법에 대한 지침을 자동차 제조업체와 공급업체에게 제공하기 위해 2022년에 ISO 21448이 개발되었습니다. 이러한 안전 표준은 모든 자동차 플랫폼에서 자율주행 시스템 및 ADAS에 대한 전체론적 접근 방식을 제공합니다. 사이버 보안 문제는 ISO 21434에서 다룹니다. 표준 기구에서 전체 차량 수명 주기에 걸쳐 사이버 보안 위험을 관리하기 위한 단일 프레임워크를 제공하는 것이 가장 좋다고 합의했기 때문입니다.

ISO 21448에 명시된 SOTIF라는 아이디어는 자동차 분야를 위해 개발되었지만 모든 자율주행 시스템으로 확대될 수 있습니다. 기업들은 항공 우주, 중장비, 건설 및 제조 자동화 분야에서 이 아이디어가 유용하다는 것을 알게 되었으며, 이 아이디어는 이러한 분야에서 기존의 기능 안전 전략과 함께 사용되는 경우가 많습니다. SOTIF는 진화하는 방법론이며, 전 세계 표준 그룹은 새로운 기술과 응용 분야를 다루도록 SOTIF를 적극적으로 개정하고 있습니다. 

ISO 21448에 있는 지침은 ISO 26262의 기능 안전에 대한 지침을 보완하기 위해 개발된 것입니다. 기능 안전(FuSa)이 시스템 오류를 다룬다면, SOTIF는 오류가 발생하지 않은 상태에서의 시스템 안전을 다룹니다.

다음 표에서는 두 자동차 안전 표준의 몇 가지 차이점을 설명합니다.

요약하자면, FuSa는 엔지니어링 팀이 모든 전기/전자(E/E) 시스템에서 소프트웨어 및 하드웨어 오류와 관련된 안전 문제를 방지하도록 지원하는 반면, SOTIF는 자율주행 및 운전자 보조 시스템이 부정확한 데이터를 수신하거나, 잘못 해석하거나, 운전자가 이 시스템을 오용하거나 오해할 때 발생하는 자동차 안전 문제를 다룹니다. 

자동차 엔지니어링 커뮤니티는 장비 고장 관련 도로 차량 표준을 개발한 후 자율주행 시스템이 손상되지 않고 고장이 발생하지 않을 때 발생하는 다른 잠재적 위험을 다루는 안전 요구 사항이 필요하다는 것을 인식했습니다. ADAS 및 자율주행 시스템은 센서를 사용하여 주변 상황을 파악하고, 머신러닝을 통해 센서 데이터를 처리하며, 복잡한 알고리즘을 사용하여 운전자에게 정보를 제공하거나 운전을 보조하거나 운전을 대신 합니다.

엔지니어가 위험을 파악하고 해결하는 프로세스를 개발하는 데 도움을 주기 위해, 이 표준은 세 가지 유형의 위험한 이벤트를 정의합니다.

기능적 불충분

기능적 불충분은 대상 시스템이 운영 설계 영역(ODD) 내에서 실제로 발생하는 문제를 정확하게 해석하지 못하여 위험한 이벤트로 이어지는 것을 말합니다. 시스템의 기능적 불충분에는 시스템 사양의 격차가 포함됩니다. 예를 들어, 추월하는 오토바이가 빠른 속도로 접근할 것이라는 사실을 자율주행 차량이 인지하지 못하고 뒤늦게 인식하여 오토바이와 충돌하는 경우가 있습니다.

성능 제한

센서 또는 알고리즘의 결함으로 인해 시스템이 불안정하게 동작할 때 성능 제한이 발생합니다. 센서, 알고리즘 또는 구성 요소로 인해 하나 이상의 고유한 제한이 발생하는 경우 위험한 동작이 발생할 수 있습니다. 대표적인 예로 폭우나 안개로 인해 카메라의 센서가 물체를 감지할 수 없어서 비상 제동 시스템이 작동하지 않는 경우가 있습니다.

예측 가능한 오용

예측 가능한 오용 이벤트는 사용자가 의도하지 않은 방식으로 상호 작용하는 상황을 말합니다. 예를 들어, 사용자가 자율주행 모드에서 갑자기 운전대를 돌리거나, 운전에 집중하지 않아서 잠재적인 충돌에 대한 경고 메시지를 보거나 듣지 못하는 경우가 있습니다. 

팀이 안전 문제를 파악하면 차량이 도로에서 직면할 수 있는 상황을 담은 시나리오, 즉 스토리를 개발합니다. ISO 21448 표준은 안전 수준 및 상황에 대한 지식 수준을 나타내는 네 가지 시나리오 영역을 정의합니다. 안전 수준은 안전하거나 안전하지 않을 수 있으며 상황에 대한 지식은 알려져 있거나 알려져 있지 않을 수 있습니다.

SOTIF는 알려지지 않은 상황과 안전하지 않은 상황의 수를 줄이는 데 중점을 두고 있으며, 특히 잠재적으로 위험한 시나리오를 발견하고 이를 알려지지 않은 상태에서 알려진 상태로 전환하는 데 우선순위를 둡니다. 다음 단계는 위험한 시나리오를 위험하지 않은 시나리오로 전환하는 것입니다. 이를 위해 시스템의 성능을 개선하거나 ODD 제한을 통해 이러한 시나리오에 노출되지 않도록 합니다. 아래에 명시된 범주를 기반으로 이러한 라벨을 사분면 차트로 정렬하면 안전 팀이 위험한 시나리오와 우선순위 설정 방법을 결정하는 데 도움이 됩니다. 

SOTIF를 적용할 수 있는 사용 사례가 증가함에 따라 기업들은 제품의 전체 수명 주기 동안 끊임없이 진화하는 표준을 안전 체계에 통합하기 위해 열심히 노력하고 있습니다. SOTIF에 대한 업계의 경험은 아직 초기 단계이지만, 통합을 가속화하고 SOTIF 구현의 효율성을 높이며 궁극적으로 운전자 보조 시스템, 자율주행 기능 및 센서와 AI를 활용하여 자동화 및 자율주행을 구현하는 기타 기계의 안전성을 개선하기 위한 몇 가지 모범 사례가 등장했습니다. 이러한 모범 사례는 아래에 나와 있습니다.

• 전문가 초빙: SOTIF는 새로운 분야이므로 조직 내부 또는 외부의 전문가를 참여시키면 구현 속도를 높이고 정확성을 개선하며 효과를 높일 수 있습니다.
• 현장 데이터 활용: ADAS 및 자율주행 관련 센서와 센서 데이터를 사용하는 알고리즘은 기능 누락, 성능 결함 및 오용을 발견하는 데 필수적인 상당한 양의 정보를 생성합니다.
• MBSE(모델 기반 시스템 엔지니어링) 접근 방식으로 SOTIF 프로세스를 FuSa 및 사이버 보안 방법과 통합: FuSa, SOTIF 및 사이버 보안은 다양한 측면과 위험 원인을 다루지만 동일한 위험을 다루는 경우가 많습니다. 또한 결함 트리, 원인 트리 및 공격 트리와 같은 유사한 데이터 및 안전 위험 평가 툴이 세 가지 영역 모두에 적용됩니다. 가능한 경우 정보와 단계를 재사용하십시오. 공유가 불가능한 경우 다른 안전 작업과 SOTIF 연구를 병행하십시오. 모델 기반 접근 방식과의 긴밀한 통합은 안전성 해석 속도를 높이고, 실제 시스템 설정이 해석에 반영되도록 하며, FuSa/SOTIF/사이버 보안 해석 결과가 개발 단계로 다시 반영되도록 하여 완벽한 추적성을 보장합니다.
• 해석 기법과 검증의 결합: 안전 팀은 위험 해석, 위험 및 운용성 연구(HAZOP), 원인 트리 해석, 불충분 및 트리거 조건 해석과 같은 분석 프로세스를 사용하여 잠재적인 문제를 찾아야 합니다. 그런 다음 해당 정보를 사용하여 도로 주행 시험, 센서 벤치 테스트, HIL(하드웨어 인 더 루프), 센서 시뮬레이션, 시나리오 시뮬레이션을 포함한 검증 접근 방식을 수립해야 합니다.
• 인증 및 검증 방법을 SOTIF에 맞게 조정: SOTIF는 새로운 기능 또는 수많은 잠재적 시나리오 및 트리거 조건 때문에 새로운 검증 접근 방식이 필요한 경우가 많습니다. 팀은 전체 V&V(인증 및 검증) 체인을 평가하고 필요에 따라 각 단계를 수정하여 SOTIF에 필요한 정보를 통합해야 합니다.
• 가상 시스템 학습 및 테스트 구현: ODD를 포괄하기 위해 고려해야 할 테스트 시나리오는 경우의 수가 매우 많고, 기존 테스트 사례 세트를 보완하는 데 필요한 현장 경험 데이터도 지속적으로 증가하고 있습니다. 실제 차량으로 실제 도로에서 시승을 하면서 이를 검증하는 것은 불가능합니다. 대신, 시뮬레이션으로의 엄청난 전환이 일어나고 있는데, 여기에는 폐쇄 루프 시뮬레이션(실제 시나리오에서 차량 전체의 거동과 다른 교통 참여자에 대한 반응을 테스트하는 것)과 개방 루프 시뮬레이션(물리적으로 정확한 센서 모델을 사용하여 차량이 무엇을 인지할 수 있는지 또는 특정 자극에 어떻게 반응하는지 테스트하는 것)이 모두 포함됩니다. 시뮬레이션을 통한 가상 테스트를 통해 설계 주기 초기에 알고리즘과 센서 설정을 평가하고 최적화할 수 있으며, 민첩한 주기로 시스템을 반복적으로 개선할 수 있습니다.
• SOTIF를 반복 프로세스로 적용: 이 표준은 상호 작용 후 남아 있는 위험을 잔여 위험으로 지칭합니다. 불합리한 위험을 초래하지 않는 문제가 남아 있을 때까지 이러한 잔여 위험을 다시 해결해야 합니다.
• SOTIF를 안전 문화의 필수적인 부분으로 만들기: SOTIF는 위험이 발생하는 방식과 이를 예방하는 방법에 대한 새로운 관점을 제시합니다. 차량의 수명 주기에 관여하는 모든 사람은 표준을 근본적으로 이해하고 있어야 합니다. 

SOTIF 및 관련 표준인 ISO 21448은 기존 산업 및 회사 표준뿐만 아니라 기능 안전 및 사이버 보안에 대한 기존 표준을 보완하기 위해 개발되었습니다. 품질 및 안전팀은 발생 가능한 상황을 예측하기 위해 열심히 노력하지만, 차량이 운행에 투입되기 전에 SOTIF에서 다루는 모든 잠재적 문제를 파악할 수는 없습니다. 시뮬레이션 툴은 SOTIF에서 다루는 시스템의 평가를 지원하고 프로세스 전반에 걸쳐 센서 및 알고리즘에 대한 실행 가능한 데이터를 제공할 수 있습니다.

SOTIF 프로세스의 효율성, 속도 및 정확성을 극대화하려는 기업은 다음과 같은 유형의 시뮬레이션 제품과 해석 툴을 고려해야 합니다.

안전 프로세스 계획 및 안전 사례 관리

첫 번째로 소프트웨어를 배포해야 하는 위치는 안내식 안전 계획, 안전 사례 관리, 안전 계획 실행 및 검토, 시뮬레이션, SOTIF 해석, KPI 모니터링 및 보고를 위한 Ansys Digital Safety Manager와 같은 안전 관리 툴입니다. 

모델 기반 시스템 안전 해석 툴

안전 계획이 개발되면 엔지니어는 적절한 MBSE(모델 기반 시스템 엔지니어링) 플랫폼을 통해 시스템 설계에 대한 안전 해석을 수행할 수 있습니다. 많은 엔지니어들이 Ansys medini analyze 시스템 지향 안전 해석 소프트웨어와 같은 툴을 사용합니다. 이 툴은 엔드 투 엔드 추적성을 통해 여러 ISO 표준을 지원하고 Ansys System Architecture Modeler(SAM)와 같은 선도적인 요구 사항 관리 및 시스템 설계 툴과 잘 통합됩니다. Ansys medini analyze는 시스템 수준 플랫폼의 훌륭한 예입니다. 시스템 아키텍처 모델을 만들고 가져온 후 다음과 같은 다양한 유형의 안전 해석을 수행하는 데 사용할 수 있기 때문입니다.

• 위험 해석
• HAZOP
• 고장 트리/원인 트리/공격 트리 해석
• 신뢰성 블록 다이어그램
• 고장 모드 및 영향 분석(FMEA), 고장 모드, 영향 및 중요도 분석(FMECA), 고장 모드, 영향 및 진단 분석(FMEDA), 고장 모드 및 영향 연구(FMES) 모델.
• 약점 및 불충분 해석
• 트리거 조건 해석

완료되면 해석의 출력을 모든 주요 요구 사항 관리 툴로 내보낼 수 있습니다.

시나리오 및 센서 시뮬레이션 플랫폼

SOTIF 구현 시 중요한 과제 중 하나는 위험을 발견하기에 충분한 데이터를 수집하는 것입니다. 자율주행 차량 분야에 특화된 디지털 미션 시뮬레이션 플랫폼은 현장에서 위험 요소가 발생하기 전에 위험 요소를 파악하는 데 매우 중요합니다. Ansys AVxcelerate Sensors 자율주행 차량 센서 시뮬레이션 소프트웨어와 같은 툴을 사용하여 센서의 기능을 모델링할 수 있으므로 실제 주행에서 기록된 데이터에 의존하지 않고도 센서 인식을 테스트하고 검증할 수 있습니다. 그런 다음 Ansys AVxcelerate Autonomy 소프트웨어와 같은 포괄적인 MBSE 기반 시뮬레이션 플랫폼을 통해 ADAS 및 자율주행 시스템 테스트를 가상화하여 각 기본 시나리오에 지정된 많은 파라미터 변형을 사용하여 대규모 시나리오 시뮬레이션 형태로 가상 테스트를 수행할 수 있습니다. 해당 데이터를 사용하여 SOTIF의 잔여 위험을 정량화할 수 있습니다. 

자동차에서 E/E의 사용이 증가함에 따라 기능 안전(즉, 이러한 시스템의 고장 및 오작동으로 인한 위험)에 대한 ISO 26262 표준이 2011년에 발표되었습니다. 모든 수준의 ADAS 시스템과 자율주행 자동차(AV)가 등장함에 따라, 기존 표준만으로는 안전의 모든 측면을 충분히 다룰 수 없게 되었으며, 이에 따라 2022년 ISO 21448 표준이 추가로 도입되었습니다. 이 표준은 자동차 제조업체 및 공급업체가 “의도된 기능의 기능적 한계 또는 예측 가능한 오용으로 인해 발생하는 위험으로부터 불합리한 위험이 없는 상태”를 확보하는 방법에 대한 지침을 제공하기 위한 것입니다. 이 표준은 자동차 산업에 종사하는 OEM(Original Equipment Manufacturer) 및 공급업체에게 상황 인식 정보를 제공하는 센서를 사용하는 자동차 E/E 시스템의 설계, 인증, 검증 및 작동에 대한 지침을 제공합니다. 이 지침은 운전자를 보조하거나 차량을 제어하는 알고리즘에 사용됩니다. 

관련 리소스